اينجا با جديدترين و يروسها آشنا بشيد


مایکل جکسون هم به جمع ویروسهای اینترنتی پیوست


SetarehSorkh : خرابكاران در تلاش هستند تا با پخش كردن فايلي كه گوياي فيلم از بی بندوباریهای مايكل جكسون است اما در واقع شامل تروجان مي باشد ، راه را براي حمله از راه دور در كامپيوترها باز كنند.
بنابر خبر اختصاصی [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] از سوفوس و ایج ، شركت آنتي ويروس McAfee اعلام كرد كه نوع جديدي از كرم Netsky با نام Netsky.ag كشف شده است . این ویروس از طريق دانلود فايلي که حاوي یک فيلم سكسي از مايكل جكسون بوده و بوسیله ايميل ، منتشر مي شود . متخصصین امنیتی اعلام كردند بيش از صد نمونه از Netsky.ag را در برزيل و آرژانتين دريافت كرده اند.پيغامهايي به تعدادي از newsgroup ها فرستاده شده و اصرار دارند كاربران فايلي را كه مي گويد یک فيلم غیراخلاقی از مايكل جكسون مي باشد ، دانلود كنند.
اين عكسها شامل تصاويري از سوء استفاده مایکل جکسون از پسرهاي جوان مي باشد كه در حقيقت چنين چيزي وجود ندارد و اين عكسها ساختگي است.
موضوع اين فايلها " فيلمهاي وحشتناكي از همجنس بازي مايكل جكسون " میباشد
متن پيغام:
عكسهايي در اينجا موجود مي باشد كه واضحا مايكل جكسون را در حال اعمال غير طبيعي با پسر بچه ها نشان مي دهد. او مدتهاي طولاني است كه براي آنها مزاحمت ايجاد مي كند.
هكرها در پي مجادله هايي كه در اين مورد در باره مايكل جكسون به وجود آمد تروجاني را نهفته و با بكار گيري اين حيله آن را در شبكه رها كردند.
اين دومين بار در هفته است كه ویروس نویسان با استفاده از شخصيتهاي مشهور سعي در به تباهي كشيدن كاربران دارند.پیش از این تروجان Hackarmy سعی داشت از طريق دانلود عكسهاي افشاگرانه اي از ستاره فوتبال, ديويد بكهام به كاربران اينترنتی منتقل شود .
مايكل جكسون تا امروز آخرين شخصيت انتخاب شده توسط هكرها براي سوءاستفاده بوده است پيش از اين هكرها از ستاره هايي مثل :Halle Berry, Avril Lavigne, Anna Kournikova, Julia Roberts, Jennifer Lopez, Britney Spears و شخصيتهايي مثل بيل كيلينتون ، جورج دبلیو بوش و بیل گیتس و شخصیتهای کارتونی مثل: Pikachu و Kyle براي پيش برد اهداف خود استفاده كرده اند.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لاتين ديگه لازم نيست :wink:

گفتم شايد زبون لاتين بعضي ها از فارسي بهتر باشه
بهر حال باشه لا تينش رو حذف ميكنم
:idea:

ویروس بکهام

متخصصين امنيتي به كاربران كامپيوتر درمورد فايلي حاوي عكسهاي ديويد بكهام ستاره فوتبال جهان كه به اسب تروجان آلوده است هشدار دادند. اين اسب تروجان Hackarmy نام دارد .
اين عكسها كه آلوده به اسب تروجان هستند از زندگي شخصي ديويد بكهام شايعاتي را در بين كاربران در مورد ازدواج وی با Spice Girl Victoria Beckham پخش كرده اند .
تروجان یاد شده به صورت گسترده اي در بين فايلهاي حاوي شايعات ازدواج بازيكن فوتبال انگليسي توزيع شده است.
هكرها و ويروس نويسان سعي مي كنند تا از هر حيله اي در فريب دادن كاربران براي دانلود كدهاي مخربشان استفاده كنند, و هم اكنون هم با ابراز اينكه اطلاعاتي از زندگي شخصي كاپيتان فوتبال انگلستان در اختيار كاربران قرار مي دهند آنها را براي وارد كردن كدهاي مخرب در كامپيوترهايشان فريب مي دهند.
اين پيغامها كه همراه با عكسهاي اين ستاره فوتبال هست و از طريق اينترنت امكان دانلود آنها نيز وجود دارد , پس از اينكه كاربران را كنجكاو كرده وآنان را وادار به دانلود مي كنند راه را براي كنترل كامپيوترها باز مي كنند.
نمونه اي از اين شايعات بي اساس را در زير مي خوانيم :
( ديويد بكهام از رئال مادريد عكسهايي با همسرش در مراسم عروسي خود گرفته كه اين عكسها هنوز در روزنامه ها بازتاب نشده و شما آنها را در اينجا خواهيد ديد. )
اشتياق همگاني در فهميدن اين شايعات بي اساس جلوبرنده آلودگي هاي خطرناك در اينترنت است.فريب دادن كاربران با Hackarmy شبيه به حيله هايي است كه قبلا در مورد مرگ بن لادن و آرنولد در اينترنت شايع شده بود.

تروجان Tometa-A

شرح:
Tometa-A يك تروجان در پشتي است كه در سيستم هاي ويندوزي منتشر مي شود و خودش را در فايل Windows\System\mfm\msrll.exe كپي مي كند ومدخل زير را در رجيستري قرار مي دهد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Rll
همچنين تروجان اطلاعات را در پوشه تعيين شده قبلي قرار مي دهد و به پورت 2200 گوش كي دهد تا مهاجم از راه دور دستورات را به تروجان ارسال كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري و زير مدخل
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Rll
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد . سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.



كرم Helex-A

شرح:Helex-A كرمي ساده است كه فايل هاي بازي را تغيير نام مي دهد و خودش را در مكاني در آنها كپي مي كند. كرم مي تواند در تمامي ديسك سخت و شبكه هاي share شده منتشر شود. كرم نام فايل هاي زير را تغيير مي دهد:
hl.exe -> 3.dll
gta-vc.exe -> D3D.dll
quake3.exe -> def.dll
speed.exe -> D3Dconfig.dll
dmcr.exe -> img.dll
porsche.exe -> cars.dll
اين فايل ها در قسمتي از نامشان تغيير ايجاد نمي شود.
پس از اجرا كرم ديسك سخت و شبكه هاي share شده را براي پيدا كردن فايل هاي بيشتر و تغيير دادن آنها جستجو مي كند و سپس Helex-A فايل بازي اصلي را اجرا مي كند.

توصيه :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky

تروجان Bancos-Z

Bancos-Z يك تروجاني مي باشد كه اطلاعات محرمانه برخي بانك ها را پس از جمع آوري به يك سيستم راه دور ارسال مي كند.
Bancos-Z تمامي اطلاعات درون فرم هاي مرورگر اينترنت را جمع آوري مي كند.
فايل اجرايي اين تروان به صورت RAR مي باشد. فايل اجرايي آن به نام tsknet.exe در شاخه سيستمي ويندوز كپي مي كند كه اين فايل داراي خصوصيت مخفي و سيستمي مي باشد.
همچنين براي اجرا شدن به همراه ويندوز مدخل هاي زير را در رجستري ايجاد مي كند :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \tsknet
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\tskne

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky

كرم Xbot-D

شرح:Xbot-D كرمي است با قابليت در پشتي IRC كه از طريق شبكه منتشر مي شود.
Xbot-D از طريق شبكه هايي كه داراي پسورد ضعيف هستند منتشر مي شود. كامپيوتر آلوده از طريق كانالهاي IRC توسط يك مهاجم از راه دور كنترل مي شود.
كرم با اجراي ويندوز به طور خودكار اجرا مي شود و فايل هاي dhcp\csrss.exe و Webchecks.dllرا در پوشه ويندوز ايجاد مي كند. همچنين ممكن است فايل هاي زير را نيز در پوشه ويندوز ايجاد كند:
msvcp60.dll (if it doesn''t already exist)
dhcp\msadm.dll
dhcp\msusr.dll
dhcp\mspwd.dll
dhcp\msdb.dll
updater.exe
كرم Xbot-A از طريق شبكه هاي share شده و SQL server هايي با پسورد ضعيف منتشر مي شود.
Xbot-A به يك سرور IRC كه به شكل قديمي است متصل مي شود و با يك كانال ارتباط برقرار مي كند. و دستوراتي را از نويسنده خود دريافت مي كند كه اين دستورات مي تواند به صورت هاي زير باشد:
flood another machine with ping packets
execute arbitrary files/commands
download an updated version of the bot
close network services that have commonly-exploited vulnerabilities
kill security-related processes
كرم مدخل زير را در رجيستري ايجاد مي كند:
HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
@ = "C:\Windows\System32\webchecks.dll"
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKCR\CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
@ = "C:\Windows\System32\webchecks.dll"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و تمامي فايل هايي كه در بالا اشاره شده است را از سيستم خود پاك كنيد و در آخر دوباره سيستم خود را راه اندازي كنيد.

فعلا........

اينم يه دردسر ديگه واسه امروز

تروجان Perflog-A

شرح:Perflog-A تروجاني است كه يك درخواست نامه Keylogging قانوني را در فايل هايي با هدف تخريب ثبت مي كند.
Perflog-A پوشه "C:\Windows\Microsoft" را ايجاد مي كند و فايل هاي Keylogging زير را در آنجا قرار مي دهد.
SYSTEM.exe
SYSTEMr.exe
SYSTEMhk.dll
SYSTEMwb.dll
همچنين دو فايل پيكر بندي شده inst.dat و pk.binرا در پوشه اي شبيه آن قرار مي دهد. اين فايلها كليد هاي ثبت شده را در ايميلي براي نويسنده تروجان ارسال مي كنند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \system = "C:\Windows\Microsoft\SYSTEM.exe"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
شرح اضافه :
SYSTEMwb.dll به صورت يك سرور Com ثبت شده است و مدخل هاي زير را در رجيستري ايجاد مي كند:
HKCR\CLSID\(1E1B2879-88FF-11D3-8D96-D7ACAC95951A)
HKCR\Interface\(1E1B2878-88FF-11D3-8D96-D7ACAC95951A)
HKCR\TypeLib\(1E1B286C-88FF-11D3-8D96-D7ACAC95951A)
HKCR\PK.IE
HKCR\PK.IE.1

مدخل هاي رجيستري زير در دفتر ثبت SYSTEMwb.dll به صورت يك كمك كننده جستجوگر BHO)) براي Internet Explorer ثبت مي شود.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
Browser Helper Objects\(1E1B2879-88FF-11D3-8D96-D7ACAC95951A)
مدخل زير ايجاد مي شود تا حتماKeylogger در سيستم اجرا شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \system = "C:\Windows\Microsoft\SYSTEM.exe"
اين تروجان برنامه هاي زير را از كار مي اندازد:
ackwin32.exe
advxdwin.exe
agentsvr.exe
agentw.exe
alertsvc.exe
alogserv.exe
amon9x.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
atcon.exe
atguard.exe
atro55en.exe
atupdater.exe
atwatch.exe
autodown.exe
autotrace.exe
avconsol.exe
avgcc32.exe
avgctrl.exe
avguard.exe
avwupsrv.exe
avgserv.exe
avgserv9.exe
avgw.exe
avkpop.exe
avkserv.exe
avkservice.exe
avkwctl9.exe
avp.exe
avp32.exe
avpcc.exe
avpm.exe
avsched32.exe
avsynmgr.exe
avwinnt.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
avxw.exe
bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe
bisp.exe
blackd.exe
blackice.exe
bootwarn.exe
borg2.exe
bs120.exe
ccapp.exe
ccevtmgr.exe
ccpxysvc.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfinet.exe
cfinet32.exe
claw95.exe
claw95cf.exe
clean.exe
cleaner.exe
cleaner3.exe
cleanpc.exe
cmgrdian.exe
cmon016.exe
connectionmonitor.exe
cpd.exe
cpf9x206.exe
cpfnt206.exe

چرا بیشتر ویروسها رو با وی بی مینویسند؟

اينم از كرم امروز !!!!!!!!! :lol:

كرمBagz-B

شرح:Bagz-B جزء آن دسته از كرمهايي است كه از طريق پيغامهاي اينترنتي منتشر مي شود.اين كرم يك در پشتي را در بر دارد تا اجازه دهد مهاجم فايلهاي بيشتري را به سيستم آلوده وارد كند و تركيبات بيشتري را نصب كند.
كرم Bagz-B ممكن است ديواره آتش سيستم را از كار بيندازد.
كرم آدرسهاي ايميلي را كه نامهايي شبيه *.txt, *.htm, *.htm, *,dbx, *.tbi, *.tbb. دارند را جمع آوري مي كند.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \syslogin.exe = syslogin.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.
شرح اضافه:
ايميلي فرستاده مي شود كه محتوي آن يك فايل الحاقي با پسوند ZIP يا يك فايل دودويي مي باشد.محتوي آن از موضوعات زير مي باشد:
"last request before refunding"
"re: user id update"
"fwd: your funds are eligible for withdrawal"
"find a solution with this customer"
"no subject"
"re: help desk registration"
"failure notice"
"fwd: password"
"when should i call you?"
"re: re: a question"
"knowledge base article"
"open invoices"
"returned mail: see transcript for details"
"building maintenance"
"[fwd: broken link]"
"winxp"
"troubles are back again"
"questions"
"order approval"
"units available"
"progress news"
"big announcements"
"need help pls"
"you have recieved an ecard!"
"what is this ????"
"deactivation notice"
"message recieved, please confirm"
"my funny stories"
"cost inquiry"
"re: payment"
"referrences"
"webmail invite"
"re: quote request"

فايل الحاقي از نامهاي زير استفاده مي كند:

arch.doc<spaces>.exe
arch.zip
archive.doc<spaces>.exe
archive.zip
atach.doc<spaces>.exe
atach.zip
att.doc<spaces>.exe
att.zip
contact.doc<spaces>.exe
contact.zip
db.doc<spaces>.exe
db.zip
dl.exe
doc.doc<spaces>.exe
doc.zip
documents.doc<spaces>.exe
documents.zip
file.doc<spaces>.exe
file.zip
ipdb.dll
jobdb.dll
mail.doc<spaces>.exe
mail.zip
message.doc<spaces>.exe
message.zip
messages.doc<spaces>.exe
messages.zip
msg.doc<spaces>.exe
msg.zip
read.doc<spaces>.exe
read.zip
readme.doc<spaces>.exe
readme.zip
support.doc<spaces>.exe
support.zip
syslogin.exe
tutorial.doc<spaces>.exe
warning.doc<spaces>.exe
warning.zip
كرم يك كپي از فايل هاي بالا را در پوشه %system32% قرار مي دهد .همچنين تركيبات زير را ايجاد خواهد كرد:
%system32%/dl.exe
%system32%/syslogin.exe
%system32%/ipdb.dll
%system32%/jobdb.dll
و مدخل زير را در رجيستري ايجاد خواهد كرد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \syslogin.exe = syslogin.exe

راستي سينا جان سوال كوروشي پرسيدي ها ؟؟؟!!! :wink:

راستي سينا جان سوال كوروشي پرسيدي ها

منظورت چیه؟
نه این سوال رو بره این پرسیدم که تا حالا هر چی ویروس(نه ویروس درس حسابی مث jeef... یا blaster و یا sesser.. ولی ویروسهایی که ویندوز رو خراب می کنن و به هم میریزن یا کلا بیشتر بوتر ها و ... با وی بی نوشته شده؟ :?:

واسه اینکه یادگرفتنش راحت تره وگرنه VC چیز دیگه اس 8)

منظوری نداشتم بابا چرا بهت بر خورد
شاید دلیلش همینه که گمنام گفت
شاید هم بلد نیستن :wink:

ماهان جان شما چجوری تونستی حدث بزنی که به من برخورد؟
پس بیشتر اونایی که دوس دارن هکر و ... باشن همینان آره؟

اره همین ادمهای از خدا بی خبر
بی دین و ایمون
:mrgreen:

تروجان theMouse-A

83.7.30
شرح :theMouse-A يك تروجان در پشتي مي باشد كه مي تواند با ايجاد پورتهاي باز ارتباط هايي را با بيرون برقرار كند.همچنين اين تروجان فايلهايي را از بيرون دريافت و اجرا مي كند.
theMouse-A وقتي اجرا مي گردد ابتدا فايل هايي را در مسيرهاي زير كپي مي كند و سپس خيلي سريع سيستم آلوده را دوباره راه اندازي مي كند.
وقتي دوباره كامپوتر شروع به كار مي كند اين تروجان مدخل هاي زير را نيز در سيستم ايجاد مي كند :
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد
فعلا..........

كرم Zafi-B

83.8.30
كرم Zafi-B كرمي است كه لز طريق ايميل در شبكه هاي P2P منتشر مي شود و خودش را در پوشه ويندوز با يك نام تصادفي با پسوندEXE كپي مي كند و مدخل زير را در رجيستري قرار مي دهد تا مطمئن شود كه با اجراي ويندوز خودش نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>
شاخه رجيستري زير نيز ايجاد خواهد شد:
HKLM\Software\Microsoft\_Hazafibb\

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
شرح اضافه :
اين كرم conection هاي اينترنت را براي متصل شدن به سايت هاي google و Microsoft چك مي كند.
Zafi-B آدرسهاي ايميل را با جستجو در فايل هايي با پسوند زير جمع آوري مي كند:
HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR
سپس آنها را با يك نام تصادفي با پسوند DLL در پوشه ويندوز ذخيره مي كند، سپس خودش را به صورت يك فايل الحاقي به آدرسهايي كه به دست آورده ارسال مي كند .
همچنيني كرم خودش را در پوشه هاي shareشده p2p به يكي از صورتهاي زير كپي مي كند:
''WINAMP 7.0 FULL_INSTALL.EXE'' or
''TOTAL COMMANDER 7.0 FULL_INSTALL.EXE''.
Zafi-A ممكن است پيغام را با يك متن مجارستاني با محتوي زير جابجا كند:
A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team).
ترجمه انگليسي آن به صورت زير مي باشد:
We demand that the government accomodates the homeless,
tightens up the penal code and VOTES FOR THE DEATH PENALTY
to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)
در زير مثال هايي از ايميلي كه كرم مي فرستد وجود دارد:
Subject: Ingyen SMS!
Message:

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] oldalon tal=E1lsz, de siess,
mert az els=F5 ezerfelhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Subject: Importante!
Message: Informacion importante que debes conocer, -
Subject: E-Kort!
Message: Mit hjerte banker for dig!
Subject: Ecard!
Message: De cand te-am cunoscut inima mea are un nou ritm!
Subject: E-vykort!
Message: Till min Alskade...
Subject: E-Postkort!
Message: Vakre roser jeg sammenligner med deg...
Subject: E-postikorti!
Message: Iloista kesaa!
Subject: Atviruka!
Message: Linksmo gimtadieno!
Subject: E-Kartki!
Message: W Dniu imienin...
Subject: Cartoe Virtuais!
Message: Te amo...
Subject: Flashcard fuer Dich!
Message: Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Viel Spass beim Lesen wuenscht Ihnen ihr...
Subject: Er staat een eCard voor u klaar!
Message: Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Hanka
Subject: Elektronicka pohlednice!
Message: Ahoj!
Elektronick pohlednice ze serveru [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Subject: E-carte!
Message: vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l''adresse suivante link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
Subject: Ti e stata inviata una Cartolina Virtuale!
Message: Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.
Subject: You`ve got 1 VoiceMessage!
Message: Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
Subject: Tessek mosolyogni!!!
Message: Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:
Subject: Soxor Csok!
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:
Subject: Don`t worry, be happy!
Message: Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
Subject: Check this out kid!!!
Message: Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

كرم Zafi-B

83.8.30
كرم Zafi-B كرمي است كه لز طريق ايميل در شبكه هاي P2P منتشر مي شود و خودش را در پوشه ويندوز با يك نام تصادفي با پسوندEXE كپي مي كند و مدخل زير را در رجيستري قرار مي دهد تا مطمئن شود كه با اجراي ويندوز خودش نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>
شاخه رجيستري زير نيز ايجاد خواهد شد:
HKLM\Software\Microsoft\_Hazafibb\

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \_Hazafibb= <Windows system folder>\<filename.exe>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
شرح اضافه :
اين كرم conection هاي اينترنت را براي متصل شدن به سايت هاي google و Microsoft چك مي كند.
Zafi-B آدرسهاي ايميل را با جستجو در فايل هايي با پسوند زير جمع آوري مي كند:
HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR
سپس آنها را با يك نام تصادفي با پسوند DLL در پوشه ويندوز ذخيره مي كند، سپس خودش را به صورت يك فايل الحاقي به آدرسهايي كه به دست آورده ارسال مي كند .
همچنيني كرم خودش را در پوشه هاي shareشده p2p به يكي از صورتهاي زير كپي مي كند:
''WINAMP 7.0 FULL_INSTALL.EXE'' or
''TOTAL COMMANDER 7.0 FULL_INSTALL.EXE''.
Zafi-A ممكن است پيغام را با يك متن مجارستاني با محتوي زير جابجا كند:
A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team).
ترجمه انگليسي آن به صورت زير مي باشد:
We demand that the government accomodates the homeless,
tightens up the penal code and VOTES FOR THE DEATH PENALTY
to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)
در زير مثال هايي از ايميلي كه كرم مي فرستد وجود دارد:
Subject: Ingyen SMS!
Message:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] oldalon tal=E1lsz, de siess,
mert az els=F5 ezerfelhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Subject: Importante!
Message: Informacion importante que debes conocer, -
Subject: E-Kort!
Message: Mit hjerte banker for dig!
Subject: Ecard!
Message: De cand te-am cunoscut inima mea are un nou ritm!
Subject: E-vykort!
Message: Till min Alskade...
Subject: E-Postkort!
Message: Vakre roser jeg sammenligner med deg...
Subject: E-postikorti!
Message: Iloista kesaa!
Subject: Atviruka!
Message: Linksmo gimtadieno!
Subject: E-Kartki!
Message: W Dniu imienin...
Subject: Cartoe Virtuais!
Message: Te amo...
Subject: Flashcard fuer Dich!
Message: Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Viel Spass beim Lesen wuenscht Ihnen ihr...
Subject: Er staat een eCard voor u klaar!
Message: Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Hanka
Subject: Elektronicka pohlednice!
Message: Ahoj!
Elektronick pohlednice ze serveru [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Subject: E-carte!
Message: vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l''adresse suivante link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
Subject: Ti e stata inviata una Cartolina Virtuale!
Message: Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.
Subject: You`ve got 1 VoiceMessage!
Message: Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
Subject: Tessek mosolyogni!!!
Message: Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:
Subject: Soxor Csok!
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:
Subject: Don`t worry, be happy!
Message: Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
Subject: Check this out kid!!!
Message: Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

تروجان Natas-A

شرح : Natas-A تروجاني است كه سعي مي كند اطلاعات بيش از ظرفيت به conection اينترنت كاربر ارسال كند.
تروجان توانايي اجرا شدن روي ماشينهاي non-US/Canada را ندارد و پيغام خطاي "ActiveX component cannot create object" را مي دهد .
Natas-A به صورت ممتد به يك سرور از پيش تعيين شده logon مي كند . فرستنده تروجان ، تروجاني را در %windows%\plugin\csrss.exe كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[random clsid]\
Stubpath = %windows%\plugin\csrss.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\[random clsid]\
Stubpath = %windows%\plugin\csrss.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

كرم Olatsky-A

همكاران :Olatsky-A كرمي است كه از طريق ايميل و با استفاده از عملكرد MAPI در Microsoft Outlook در سيستم هاي ويندوزي منتشر مي شود.
كرم Olatsky-A ممكن است همراه ايميلي با خصوصيات زير ارسال شود:
Subject: "Muahahahaha see that stupid teacher!"
Message body: "Download and open the movie and ROTFL now!"
Attachment: "teachermovie.exe"

Subject: "Microsoft Security Patch"
Message body: "This patch protect your Windows for the Worm MyDoom or Novarg,
download the patch and install it now!"
Attachment: "antisassernetsky.exe"

Subject: "Mail Delivery Status"
Message body: "Your Email Account is corrupt please install the patch now!"
Attachment: "mailaccountpatch.exe"

Subject: "E-mail Address not found!"
Message body: "The e-mail address wasnt'' found, please read the attachment for more information"
Attachment: "readme.exe"

Subject: "Sasser virus bugfix from McAfee"
Message body: "Please scan your computer, the MyDoom worm is very dangerous"
Attachment: "Sasser.exe"

Subject: "Die E-Mail konnte nicht versendet werden"
Message body: "Glauben sie nicht? Schauen sie selbst das angehngte Bild an!"
Die von ihnen angegebene Adresse wurde nicht gefunden,
bitte downloaden sie die Liesmich Datei fr weitere Informationen!"
Attachment: "liesmich.exe"

Subject: "Russische Spionage Satelliten haben sie fotografiert"
Message body: -
Attachment: "satellitenfoto.exe"

Subject: "Wichtige Informationen fr Morgen"
Message body: "Hi ich habe hier noch die Arbeitspl fr Morgen"
Attachment: "arbeit.exe"
پس از انتشار، كرم Olatsky-A خودش را به صورت ايميل به آدرسهايي كه ازدفترچه آدرسهاي Microsoft Outlook به دست آورده ارسال مي كند.
به اين طريق كرم توانايي اين را دارد كه با اجراي ويندوز آن نيز اجرا شود و فولدر زير را درست مي كند.
C:\WINDOWS\All Users\Startmen\Programme\Autostart\systrayw.exe.
بخشي از اين كرم نيز به عنوان يك ثبت كننده كليد عمل مي كند و تمامي كليد هاي فشرده شده توسط كاربر را ثبت مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در فولدر زير فايل مورد نظر را حذف كنيد :
C:\WINDOWS\All Users\Startmen\Programme\Autostart\systrayw.exe.
پرسش هاي خود را در اين زمينه مي توانيد در اينجا مطرح كنيد

تروجان Scob-A

اينو همين الان ديدمش :

Scob-A يك تروجان جاوا اسكريپت مي باشد كه درون فايل هاي HTML گزارش شده است كه اين فايل ها در IIS اجرا مي شود.

اين تروجان يك فايل را از يك سايت روسي دانلود مي كند،اين سايت در حال حاضر در دسترس نمي باشد.

آخرين اخبار از آخرين ويروس ها:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

به زبان فارسي

دستت درد نکنه امیر جان
نونه مارو آجر کردی .... ایول
:shock: :mrgreen:

کشف دو حفره امنیتی خطرناک در گوگل


متخصصین فني گوگل اعلام كرده اند كه حفره امنيتي در موتور جستجوي گوگل وجود دارد كه گوگل patch آنرا ارائه داده است و مشكل ديگري نيز شناسايي شده است كه patch آن تا آخر هفته منتشر مي شود.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در موتور جستجوي گوگل اختلالي وجود دارد كه به هكرها اين امكان را مي دهد كه در نتايج جستجوي گوگل تغيير به وجود بياورند و اين امكان وجود دارد ، چون گوگل به سايتهاي ثالثي اجازه استفاده از محتويات جستجوي درون گوگل را مي دهد.

اين حفره به Cracker ها امكان جاسازي كدهاي جاوا اسكريپت را در عوض لينكهاي فايلهاي تصويري مي دهد و اجازه مي دهد آنها نمود و نمايش صفحه نتايج جستجوي گوگل را تغيير دهند و اطلاعات جستجو شده را بدزدند.

Achilles' Heel اختلال ديگري را بوسيله Netcraft پيدا كرد كه امكان تزريق يا داخل كردن محتويات مخرب از قبيل scam ها و يا ديگر اهداف را در وب سايت گوگل به هكرها مي دهد .
patch مربوط به اين مشكل هم تا آخر هفته انجام مي شود.

تروجان Banker-EK

همكاران : Banker-EK يك تروجان دستبرد زننده به اطلاعات مي باشد.اين تروجان كاربر هايي را كه از اينترنت استفاده مي كنند و جزئياتي را از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ثبت مي كنندرا ديده باني مي كند و اطلاعات ثبت شده به آدرس ايميلي در برزيل ارسال مي شود.


توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

آسیب‌پذیری تلفن‌های همراه دارای جاوا


۲ آبان ۱۳۸۳
تراشه : محققان لهستانی از وجود دو آسیب‌پذیری در تلفن‌های همراه دارای نسخه جاوا سان مایکروسیستمز خبر دادند که تحت یک شرایط غیرعادی به برنامه‌های بداندیش امکان خواندن اطلاعات و یا از کار انداختن تلفن را می‌دهد.

آدام گودیاک 29 ساله، محقق امنیتی در Poznan Supercomputing and Networking Center که این آسیب‌پذیری را کشف کرد، اعلام کرده است: "بهره‌برداری از این حفره‌ها کار مشکلی است زیرا برنامه‌ها باید برای هر یک از مدل‌های تلفن همراه بطور جداگانه نوشته شود." او کشف کرده است که چگونه می‌توان به موبایل نوکیا 6310i حمله کرد، اما این تلاش 4 ماه زمان برده است.

گودیاک اظهار داشت: "قبل از اینکه بتوان از این آسیب‌پذیری بهره‌برداری کارد، کاربران تلفن همراه می‌بایست یک برنامه بداندیش را دانلود و اجرا کرده باشند."

او اعلام کرد که در ماه آگوست، سان را از این موضوع مطلع کرده است و این شرکت اعلام کرد که برای این مشکل یک وصله امنیتی ظرف 2 هفته آینده ارسال می‌کند.

كرم Ourtime-A

83.8.4

شرح :Ourtime-A كرم مخصوص ويندوز مي باشد كه از طريق فايلهاي share شده شبكه منتشر مي شود.
كرم Ourtime-A داراي يك ماشين ZIP مي باشد كه آرشيوي از فايلهايي با نام به ظاهر درست ايجاد مي كند تا كاربر هاي ديگر p2p را بيابد سپس كرم اين فايل ها را با client هاي Kazzaa, eDonkeyو eMule ، share مي كند.
با اجراي ويندوز كرم نيز به طور خودكار اجرا مي شود و مدخل رجيستري زير را ايجاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Poet=C:\WINDOWS\system32\Inf\poet.exe
اندازه فايل هاي درون آرشيو زياد مي باشد تا فايلها براي پر كردن فضا مناسب باشند. كرم پس از اضافه شدن به فايلها فشرده شده كپي هاي خود را روي اينترنت مي فرستد.
عباراتي كه براي نام آرشيو ها استفاده مي شود شامل تيتر هاي زير مي باشد:
games, software hacks/cracks and sexual
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''Export Registry File'''''''' و در پنل ''''''''Export range'''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Poet=C:\WINDOWS\system32\Inf\poet.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

تا بعد ....... :wink:

نسخه‌ي جديد كرم Netsky در كره‌ي جنوبي
83.8.4
همكاران : محققان ضد ويروس نسخه‌ي جديدي از كرم Netsky را كشف كرده‌اند كه حاوي متني بوده كه آن را به دانشگاهي در كره‌ي جنوبي متصل مي‌سازد.

Mikko Hypponen، مدير تحقيقات ضد ويروس در شركت اروپايي و ضد ويروس F-Secure گفته است كه اين گونه‌ي اخير كرم Netsky حاوي دو عبارت مخفي با نام‌هاي SoonChunHyang و Bucheon است.

وي همچنين گفته است: «دانشگاهي با نام Soonchunhyang در شهر Bucheon واقع در كره‌ي جنوبي وجود دارد. بنابراين، اين طور حدس مي‌زنيم كه هدف اين نسخه‌ي جديد كرم Netsky، كره‌ي جنوبي است.»

بر طبق اظهارات شركت ضد ويروس Sophos، نسخه‌ي اصلي Netsky توسط Sven Jaschan نوشته شده كه ظاهرا مسئول 70 درصد از تمامي آلودگي‌هاي ناشي از ويروس‌ها در نيمه‌ي نخست سال جاري بوده است.

Jaschan در ماه مه توسط پليس آلمان توقيف و به زندان فرستاده شد. وي اعتراف كرده كه برنامه نويسي هر دو كرم Netsky و Sasser را وي انجام داده بوده است. در طي پنج ماه پيش از دستگيري Jaschan، دست كم بيست و پنج گونه‌ي مختلف از كرم Netsky و يك نسخه از Sasser موجود بوده‌اند.

Jaschan مدت كوتاهي پس از دستگيري، گفته است كه كد منبع كرم Netsky را توزيع كرده و اين كرم قادر بوده است كه به هر تعدادي از افراد امكان دهد تا نسخه‌هاي گوناگوني از اين كرم را توليد كنند.

Hypponen گفته است كه چنانچه كد منبع اين كرم منتشر شده باشد، همه‌ افراد از آن استفاده خواهند كرد. وي همچنين گفته است كه كد منبع Netsky، بسيار فوق العاده بوده زيرا اين كرم در عملكردهاي خود بسيار موفق بوده است.

از زماني كه Jaschan دستگير شده است، دست كم بيست گونه‌ي ديگر از كرم Netsky يافت شده است.

Hypponen عقيده دارد كه تمامي گونه‌هاي اخير Netsky توسط مقلدها (copycats) توليد شده‌اند. وي گفته است از آن جايي كه نويسنده‌ي نسخه‌ي اصلي خانواده‌ي Netsky هم‌اكنون قادر به ادامه‌ي كار خود نيست، به نظر مي‌رسد كه اين نسخه‌هاي اخير

تا بعد ........... :wink:

نقايص امنيتي در مرورگرها، دربر دارنده‌ي خطرات phishing
83.8.5
منبع: مشورت : یك مسئله‌ي امنيتي در ساختمان و شكل رايج و عمومي مرورگرهاي متعددي چون موزيلا، فاير فاكس، اپرا، Konqueror و كارنينو كشف شده است.
اين نقص ياد شده كه توسط شركت تحقيقات امنيتي Secunia يافت شده است، مرورگرهاي داراي tab را كه به كاربران امكان مي‌دهد تا سايت‌هاي چندگانه را مشاهده كنند، مورد هدف قرار داده است. با پيدايش اين آسيب پذيري، يك box مكالمه ممكن است ايجاد شود كه كاربران را به سمت download كردن نرم‌افزار جاسوسي هدايت كرده و يا كامپيوترها در معرض خطر دسترسي غير مجاز به آن‌ها قرار مي‌دهد.
Thomas Kristensen، مدير تكنولوژي شركت Secunia گفته است كه توليد كنندگان در حال بر طرف كردن مشكل موجود در مرورگرهاي آلوده هستند. وي خاطر نشان كرده است كه مسئولان موزيلا در حال آزمايش كردن patch اين مرورگر بوده و ساير سرپرستان به سرعت تلاش مي‌كنند تا نقص موجود را بر طرف سازند.
حفره‌ي Phishing
اگرچه مشكلات امنيتي هميشه به مرورگرها آسيب خواهند رساند، اما از آن جايي كه از بخش‌ها و قسمت‌هاي ديگر تكنولوژي استفاده مي‌كنند، توجه به اين آسيب پذيري به خصوص، داراي اهميت بسياري بوده، زيرا كاربران را در معرض خطر حملات فريب دهنده قرار مي‌دهد.
مشكل اصلي آن است كه اين نقص مي‌تواند براي حملات phishing مورد استفاده قرار گيرد.
شركت Secunia توصيه كرده است كه كاربران وبي كه از مرورگرهاي داراي tab استفاده كرده و متكي به آن‌ها هستند، بايد JavaScript خود را از كار انداخته و يا از بازديد و مشاهده‌ي وب سايت‌هاي غير مطمئن به طور هم‌زمان با مشاهده‌ي سايت‌هاي قابل اطمينان، خودداري فرمايند.
حملات و آسيب رساني‌هايي كه با موفقيت انجام مي‌شوند، نيازمند آن هستند كه كاربران فريب
خورده و لينك‌هايي را كه از سوي وب سايت‌هاي آلوده به سايت‌هاي مورد اطمينان فرستاده مي‌شوند، بر روي tab جديدي باز كنند.
آينده‌ي غير ايمن
علاوه بر نقص موجود در مرورگرهاي داراي tab، شركت Secunia اخيرا دو نقص جديد را در عمومي‌ترين و مورد استفاده‌ترين مرورگر، Internet Explore كشف كرده است.
اين دو آسيب پذيري جديد كه از لحاظ خطرناك بودن در رديف آسيب پذيري‌هاي بسيار خطرناك و بحراني قرار گرفته‌اند، مي‌توانند سيستم كامپيوتر كاربران را در اختيار گرفته، آن‌ها را به منابع عمومي اتصال داده و مسير قابليت‌هاي امنيتي سرويس پك 2 ويندوز XP مايكروسافت را مسدود سازند.
Kristensen گفته است كه متاسفانه، پيدايش اين آسيب پذيري‌هاي جديد بدان معناست كه مشكلات امنيتي به طور مداوم و مكرر در آينده رخ خواهند داد.

تابعد ............ :wink:

تروجان Tinytest-A


83.8.6
Tinytest-A يك تروجان دانلود كننده مي باشد كه طوري برنامه ريزي شده است تا فايلهايي را از مكانهاي دور دانلود كند و آنها را اجرا نمايد.
اين تروجان يك adware executable از webinstall.tscash.com دانلود مي كند و آنرا با نام SysUpd.exe در پوشه ويندوز كپي و اجرا مي كند.
مدخل زير را در رجيستري ايجاد مي كند وسپس فايل SysUpd.exe را روي سيستم اجرا مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \SysUpd = %SYSTEM%\SysUpd.exe

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \SysUpd = %SYSTEM%\SysUpd.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

و يروسي براي کاربران eBay

83.8.6
متخصصان مسائل امنيتي از کشف ويروسي خبر دادند که در قالب يک نامه الکترونيک براي کاربران ebay ارسال مي شود.

در اين نامه که ظاهراً از سوي سايت مشهور ebay براي کاربران ارسال مي شود چنين ادعا شده که اين سايت خواستار انجام يک پژوهش در ميان کاربران خود است که شرکت در آن جوايزي را نيز به دنبال دارد.

اين نامه همچنين داراي يک ضميمه آلوده به نام Login.exe است که اجراي آن امکان دسترسي ويروس نويسان به اطلاعات شخصي افراد را فراهم مي آورد.

کارشناسان خطر اين ويروس را بسيار بالا ارزيابي کرده اند.

راهي جديد براي مبارزه با ويروس هاي آن لاين

83.8.8
گروه دانش: محققان پيش بيني كرده اند اگر زمان تأخير پخش ويروس هاي كامپيوتري به كمتر از سه ساعت كاهش پيدا كند، ميزان تأثير ويروس هاي آن لاين به حداقل مي رسد. به گزارش پي سي ورلد، تحقيقات اخير دانشمندان بيانگر آن است كه يك ويروس كامپيوتري براي تأثيرگذاري كافي به بيش از سه ساعت زمان نياز دارد و اگر طراحان برنامه هاي ضد ويروس بتوانند زمان تأخير پخش را به كمتر از سه ساعت برسانند، ميزان تأثير ويروس هاي ايميلي و آن لاين به كمترين مقدار خود خواهد رسيد و چه بسا از بين مي رود.
تاخير زمان پخش ويروس ها هم اكنون ۱۰ ساعت است.
الكس شيب، متخصص فناوري نرم افزارهاي ضد ويروس مي گويد: برنامه هاي خراب كارانه شديداً دچار تحول شده، اما نرم افزارهاي ضدويروس همچنان برپايه الگوهايي استوار است كه ۲۰ سال پيش طراحي شده است.
تحليلگران مركز تحقيقاتي IDC سه ماه قبل طي گزارشي اعلام كردند با توجه به گسترش سريع ويروس هاي پيچيده و مخرب انتظار مي رود سازمان ها به طور فزاينده اي به تكنيك ها و برنامه هاي شناسايي و انهدام ويروس روي بياورند.

تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:

service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"

اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

كرم Krogo-Q

83.8.9
Korogo-Q كرم شبكه و كرمي است كه در سيستم هاي ويندوزي منتشر مي شود.كرم از طريق جستجوي سيستم و يافتن آسيب پذيري LSASS منتشر مي شود.

كرم Korogo-Q براي در يافت دستورات به يك پورت تصادفي گوش مي دهد.كرم IP هاي تصادفي را پيدا مي كند و سعي مي كند از طريق نيرنگ به port 445 روي كامپيوتر قرباني متصل شود .هر كامپيوتري كه آسيب پذيري LSASS داشته باشد به كامپيوتر آلوده متصل شود يك كپي از كرم را دانلود خواهد كرد و سپس با اجراي آن سيستم را آلوده خواهد كرد.

Korgo-Q همچنين به چندين URL ارتباط برقرار مي كند وآنها را از آلوده كردن سيستم قرباني آگاه مي سازد. برخي از اين URL ها سايت هاي آنتي ويروس و بانكهاي الكترونيك مي باشند.

اين كرم همچنين خود را به نامهاي تصادفي و با پسوند MSC در پوشه سيستمي ويندوز كپي مي كند.

همچنين يك فايل DLL را نيز با يك نام تصادفي در پوشه سيستم كپي مي كند.

براي اينكه Korgo-Q فايل DLL را اجرا كند آنها را به عنوان يكي از اشياي مرورگر ويندوز در سيستم ثبت مي كند و مدخل هاي زير را به همين منظور ايجاد مي كند:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
ShellExecuteHooks\(CLSID)

HKLM\SOFTWARE\Classes\CLSID\(CLSID)\InprocServer32 \
(Default) = <path to worm DLL>

كرم همچنين مدخل زير را نيز ايجاد مي كند :



HKLM\SOFTWARE\Microsoft\DataAccess\Database

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3- اصلاحيه هاي مايكروسافت نيز نصب گردد.

4 -روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
ShellExecuteHooks\(CLSID)

HKLM\SOFTWARE\Classes\CLSID\(CLSID)\InprocServer32 \
(Default) = <path to worm DLL>

حفره امنیتی خطرناک در RealPlayer


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

83.8.9
سایت امنیتی eEye Digital به آسیب پذيري مهمی در RealPlayer پي برده است كه به هكرها امكان مي دهد مجموعه اي از داده هاي اختياري را با كدهاي اختياري در متن اجرايي كاربران RealPlayer اجرا كنند.

در این نوع آسیب پذیری skin فايل RealPlayer يا (.rjs) مي تواند دانلود شود و بدون اجازه كاربر در سراسر جستجوگر وب به طور اتوماتيك اجرا شود.
skin فايلها مجموعه اي از گرافيك و فايل .ini ذخيره شده باهم در فرمت ZIP مي باشند.DUNZIP32.DLL, كه RealPlayer را در بر مي گيرد در استخراج مندرجات skin فايلها استفاده مي شود. وقتي كه فايل (.rjs) داراي نام فايل طولاني ( بزرگتر از 0x8000 بايت) باشد در RealPlayer و جستجو گر وب باز نمي شود و به توده اي از buffer ها امكان دزديدن برنامه هاي ثبت شده ورودي , خروجي استثنائي را مي دهد.

راه حل و چاره سازي :
RealNetwork براي اين آسيب پذيري patch هايي منتشر كرده است كه از طريق منوی "Check for Update " در زير Tools ، در منو بار RealPlayer و از طریق گزينه " Security Update - Skin File Overflow " قابل دسترسي است و بهتر است كه خود Player نيز آپديت شود.

سيستم هاي تحت تاثير واقع شده RealPlayer 10.5 (6.0.12.1053 and earlier) RealPlayer 10 RealOne Player v2 RealOne Player v1 در ويندوز مايكروسافت میباشند .

تروجان Ariel-A


Ariel-A يك تروجان در پشتي در سيستم هاي ويندوزي است .كرم خودش را در پوشه ويندوز با نام REGCXCOMPFTP.EXE ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا در هنگام شروع ويندوز تروجان نيز اجرا گردد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Regcxcompftp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Regcxcompftp

Ariel-A كليد هاي سيستم را ثبت مي كند و در ميان آنها به دنبال پسورد هاي بانك هاي برزيلي مي گردد.

اين تروجان همچنين دستوراتي را از راه دور مي تواند دريافت كند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Regcxcompftp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Regcxcompftp

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

حمله به گوگل , مايكروسافت و وب سايت نخست وزير مجارستان

83.8.10
در روز چهارشنبه ورژن جديدي از كرم Zafi با نام Zafi.C گزارش شد كه كه برعكس ورژنهاي قبلي Zafi ، كد دار بوده و قصد روانه كردن حمله DDoS در برابر گوگل , مايكروسافت و وب سايت نخست وزير مجارستان را دارد .
اولين نوع ورژن كرم Zafi كه به متن مجارستاني بود و Zafi.A نام داشت در آپريل امسال كشف شد وسعي در فرستادن خودش به آدرس ايميلهاي مجارستان داشت, اما زياد مخرب نبود.
دو ماه بعد Zafi.B منتشر شد واين بار كرم قادر به محدود كردن عملكردهاي آنتي ويروسها و فايروال بود و به زبانهاي زيادي از جمله انگليسي , اسپانيايي , روسي و سوئدي صحبت مي كرد.
Mikko Hyppönen رئيس آنتي ويروس F-Secure مي گويد : كرم Zafi.C خيلي بدتر و وخيم تر از Zafi.B هست و مي تواند مزاحمت هاي زيادي را ايجاد كند, اگر چه از ويراني هاي اين كرم خيلي كم گزارش به ما رسيده است.
Zafi.C بازتاب خبري بزرگي در مجارستان بر پا كرده است .كرم Zafi.C آدرس بوك ويندوز و ايميل آدرسها را آلوده كرده است .
Paul Ducklin, کارشناس ارشد Sophos مي گويد اين ويروس فعلا در سطح پاييني از آلودگي قرار دارد و در استراليا و بيشتر جاها گزارش زیادی از آلودگي نداشته ايم. وي مي افزايد ، قابل توجه است كه ماهانه حدود 1000 ويروس جديد گزارش مي شود كه این یعنی تقريبا هر 45 دقيقه يك ویروس!!
چهار شنبه روز پر مشغله اي براي كمپاني هاي آنتي ويروس بود, آنها نوع جديدي از كرم MyDoom و نوع ديگري از كرم Agobot را نیز كشف كردند كه از سرور Internet Relay Chat (IRC) براي دستيابي هكرها در آلوده كردن سيستمها استفاده مي كنند.
Ducklin اضافه كرد كه اين سیصد و پنجاهمین ورژن Agobot مي باشد.
SuSE از وجود حفره‌ي امنيتي در هسته‌ي لينوكس خبر مي‌دهد .
مشخصات اون رو در چند روز آینده همینجا ببینید .

هك شدن 1000 سايت اينترنتي توسط تيم آشيانه


بنابر ایمیل رسیده از سایت آشیانه ، این تیم شنبه شب حدود 1000 سایت اینترنتی را که از کشورهای مختلفی بودند را هک کرد. توجه شما را به متن ایمیل ارسالی جلب مینمائیم :

با سلام و عرض احترام خدمت مدیران سایت های خبری و IT کشور.
من یکی از مدیران تیم امنیتی آشیانه هستم.

در پروژه جدید، تیم آشیانه شنبه شب مورخ 83/8/9از ساعت 30/8 شب تا 30/1 بامداد حدود 1000 سایت اینترنتی را که از کشورهای مختلفی بودند را هک کرد. این هزار سایت توسط سه تن از اعضای تیم آشیانه یعنی "Behrooz Ice" & "Lucifer" & "Q7X" هک وDeface شد.

رکورد تعداد سایت های هک شده در یک روز با این کار شکسته شد که البته رکورد قبلی یعنی هک 600 سایت نیز در اختیار همین تیم بود.

اینکار فقط بخاطر بی تفاوتی مسئولان این سرور به مقوله امنیت و Security سرور Windows خود و تذکر به آنها انجام شد. هیچ خسارتی به این سرور وارد نشده و اطلاعاتی پاک نشده است، تنها صفحهIndex (اصلی) سایت ها با صفحه هک ما جایگزین شده است.

این کار توسط باگی مربوط به ضعفASP انجام شد و ما توانستیم با دور زدن Permission این سرور به سایت های Host شده بر روی آن دسترسی پیدا کنیم. ما دسترسی کاملی بر روی این سرور داشتیم. به علت زیاد بودن تعداد سایت ها مجبور به نوشتن برنامه ای شدیم که به صورت اتوماتیک عملیات Deface کردن را انجام بدهد.


در این لیست اسم سایت های معروفی همچون سایت توسعه صنعت پارس - سایت اداره کل بازرگانی مازندران - سایت بانک هندوستان - سایت iranmusiccenter.com - سایت horizondiamonds.com - سایت ایران E-Cards و چندین سایت در رابطه با تجارت الماس ... به چشم می خورد.

این سرور یک سرور بزرگ بین المللی در آمریکا بود که از ویندوز 2000 سرور SP 4استفاده می کرد و بر روی آن 1000 سایت از کشورهایی نظیر آمریکا – اسراییل – هند – نیوزلند – پاکستان – امارات – عربستان – ایران – عمان و چند کشور دیگر قرار داشت.

لینکhtml ای که جایگزینindex این سایت ها شده است:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لینک لیست کامل سایتهای هک شده:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

امیدواریم روزی برسد که مدیران سرورها بیشتر به امنیت سرور خود توجه کنند.

ممنون و موفق باشید
گروه امنیتی آشیانه

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

طوفان نسخه هاي جديد كرم Bagle و ارائه ابزار پاکسازی آن


كرم Bagle با سه ورژن جديد و متفاوت براي فریب دادن آنتي ويروسها در رديابي ، با سرعتی زیاد از كما بازگشته است.

سه كمپاني بزرگ آنتي ويروس McAfee, Symantec و Sophos گزارش دادند كه از تعداد زيادي از ورژن هاي جديد Bagle جلوگيري كرده اند و از كاربران خواستند كه حتما آنتي ويروس كامپيوترهايشان را آپديت كنند.
McAfee فقط در روز پنجشنبه حدود 200 بار Bagle.bb را گزارش كرده است اما دونوع ديگر Bagle.bc و Bagle.bd فقط دو بار ديده شده اند.

ورژن هاي جديد تقريبا يكسان هستند اما با كاهش نشانه هاي ويروس براي گول زدن برنامه هاي آنتي ويروس ، متفاوت از نمونه هاي قبليBagle مي باشند .

Sophos نيز اعلام كرد هزاران گزارش از Bagle.bb كه با نام Bagle.au خوانده مي شود داشته است اما دو ورژن جديد ديگر كمترين شدت را داشته اند.ورژن هاي جديد Bagle در ايميلهايي از آدرس منابع جعلي و با موضوعات مبهمي از قبيل Re:Hello, Re: Thank you! و Re: مي آيند.

سیمانتک جهت پاکسازی انواع کرم یاد شده Remover آنرا آپدیت نموده که آخرین نسخه آنرا میتوانید از لینک زیر دریافت نمائید :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Bagle چی میگه اصلا .......

نسخه‌هاي جديد كرم Bagle بر روي اينترنت منتشر شده و شركت‌هاي ضد ويروس شروع به هشدار دادن به مشتريان درباره‌ي اين تهديد جديد و روزآمد ساختن نرم‌افزارها براي شناسايي اين كرم‌هاي جديد كرده‌اند.
سه گونه‌ي جديد از كرم Bagle توسط شركت‌هاي ضد ويروس مشاهده شده كه هر كدام مشابه نسخه‌هاي قديمي‌تر اين كرم بوده‌اند كه ابتدا در ماه ژانويه به اينترنت حمله كرده و از طريق فايل‌هاي پيوست آلوده در ايميل‌ها منتشر گشته‌اند.
شركت مكافي، دو مورد از اين كرم‌هاي جديد را از نظر خطرناك بودن در رده‌ي متوسط قرار داده است. ساير فروشندگان ضد ويروس از جمله Symantec و Sophos PLC نيز گزارش‌هايي درباره‌ي جلوگيري از بسياري از نمونه‌هاي اين كرم جديد منتشر و به مشتريان توصيه كرده است كه در اولين فرصت، نرم‌افزارهاي ضد ويروس خود را روزآمد سازند.

تيم پاسخ به فوريت‌هاي ضد ويروس مكافي اولين نمونه‌ي كرم Bagle.bb را كه يكي از گونه‌هاي جديد منتشر شده، شناسايي كرده است. سپس اين شركت در حدود 200 گزارش درباره‌ي اين ويروس دريافت كرده و از انتشار دو مورد ديگر با نام‌هاي Bagle.bc و Bagle.bd جلوگيري كرده است.

شركت مكافي، كرم‌هاي Bagle.bb و Bagle.bd را بر اساس تعداد گزارش‌هاي دريافت شده، از لحاظ خطرناك بودن در رده‌ي متوسط قرار داده است.

گونه‌هاي جديد اين كرم تقريباً با يكديگر يكسان بوده، اما از نسخه‌هاي متفاوت كه با عنوان يك برنامه‌ي بسته‌بند (packer) شناخته مي‌شوند استفاده مي‌كنند تا اندازه‌ي ويروس را تغيير داده و profile جديدي ايجاد كند كه بتواند برخي از برنامه‌هاي ضد ويروس را فريب دهد.

محققان ويروس در شركت Sophos، هزاران گزارش از ويروس Bagle.bb را از سوي مشتريان دريافت كرده‌اند. اين شركت، كرم جديد را Bagle.au ناميده است.

اولين كرم Bagle در تاريخ نوزدهم ژانويه منتشر شده است. از آن زمان تاكنون، بيش از چهل نسخه از اين كرم شناسايي شده‌اند. همانند نخستين كرم، تمامي نسخه‌هاي منتشر شده سيستم‌هاي اجرا كننده‌ي ويندوز مايكروسافت را مورد هدف قرار داده، آدرس‌هاي ايميل را از ماشين‌هاي آلوده جمع آوري مي‌كنند و از پروتوكل انتقال ايميل خود (SMTP) استفاده مي‌كنند تا از اين طريق ايميل‌هاي آلوده به ويروس را به آدرس‌هاي ياد شده ارسال كند.

گونه‌هاي مختلف كرم Bagle از طريق ايميل‌هاي فريبنده و يا آدرس‌هاي منبع ساختگي و با موضوعاتي مبهم و نامشخص مانند "Re:Hello"، "Re:Thank you!" و "Re:Hi" منتشر مي‌شوند.

با وجود تعداد بسيار كپي‌هاي اين ويروس، Sophos گزارش‌هاي اندكي از از سوي مشتريان آلوده شده دريافت كرده است.

Graham Cluley، مشاور عالي رتبه‌ي تكنولوژي در شركت Sophos گفته است: « نرم‌افزارهاي ضد ويروس را مي‌توان روزآمد ساخت، اما مغز و فكر مردم را نمي‌توان patch كرد. كاربران بايد بدانند پيش از باز كردن پيوست ايميل‌ها بر روي كامپيوترهاي خود، كمي تآمل و تفكر كنند

IE ، آسيب پذيرترين ابزار تحت وب

تراشه : طبق گزارش سرويس هاي امنيتي IE ،ScanSafe يا همان مرورگر مايكروسافت به عنوان پر خطر ترين و سريع ترين تهديد امنيتي شناخته شد.

بيشترين استفاده از آسيب پذيري Exploit.Html.Mht مي باشد كه دو برابر ديگر آسيب پذيري ها سازمانها و شركت ها را در سال 2004 مورد تهديد قرار داده است.
هر چند كه تروجان ها و كرم ها به عنوان تاثير گذارترين حملات باقي ماندند اما آسيب پذيري ها نيز در حدود 19 درصد از حملات را براي خود توسط ScanSafe ثبت كردند كه هنوز هم در حال افزايش مي باشد.
به گفته مسوولان ScanSafe آسيب پذيرترين ابزار تحت وب همان مرورگر مشهور و دوست داشتني مايكروسافت مي باشد كه باعث حملات زيادي به كاربران شده است. اين سركرده مرورگرهاي وب به راحتي امكاني را فراهم مي كند كه كاربران فقط با ديدن يك سايت به سادگي به انواع ديگري از خطرات و تهديدات تحت وب دچار شوند.

Jphn Edward مدير فني ScanSafe پيش بيني مي كند كه در آينده نيز IE به خطرناك ترين ابزار براي سازمانها و شركت هاي IT مي تبديل مي شود.

او مي گويد: هر زماني كه يك آسيب پذيري جديد در مرورگر ويندوز پيدا مي شود تا زماني كه شركت مايكروسافت اين آسيب پذيري را اصلاح كند و مديران شبكه در جهت نصب اصلاحيه ها برآيند زمان مرده اي وجود دارد كه نفوذگران و هكرها از اين زمان مرده حداكر استفاده را مي كنند.

همچنين در اين گزارش Webmail ها ده درصد خطرات و Spyware ها 12 درصد از اينگونه تهديد ها را به خود اختصاص داده اند.

مايكروسافت در حال بررسي حفره‌ي امنيتي جديد در IE است

منبع : مشورت


مايكروسافت در حال بررسي گزارش‌هايي درباره‌ي يك نقص امنيتي بسيار جدي در مرورگر Internet Explorer است، اما هنوز هيچ كد مخربي را كه به آسيب پذيري گزارش شده حمله كرده و موجب تخريب و آسيب آن شود، مشاهده نكرده است.

متخصصان امنيت اوايل اين هفته هشدار داده‌اند كه كدي كه حفره‌ي امنيتي تازه يافت شده در IE را تحت تاثير قرار مي‌دهد، در حال گردش و منتشر شدن بر روي اينترنت است. بنا بر اظهارات شركت امنيتي دانماركي، Secunia، اين كد موجب ايجاد سر ريز بافر در IE 6 شده و بر روي كامپيوترهايي كه ويندوز XP به همراه سرويس پك 1 و ويندوز 2000 بر روي آن‌ها اجرا مي‌شوند، مستقر گرديده است.

تيم آمادگي فوريت‌هاي كامپيوتري آمريكا (CERT) هشدار مشابهي را به كاربران داده است. اين تيم اعلام كرده است كه علاوه بر مرورگر وب، برنامه‌هاي كاربردي مانند كلاينت‌هاي ايميل كه مبتني بر كنترل‌هاي مرورگر هستند نيز ممكن است آسيب پذير باشند.

حمله كنندگان مي‌توانند با استفاده از نقص موجود، كنترل و تسلط كاملي بر روي كامپيوتر قرباني به دست آورند. مايكروسافت در حال بررسي آسيب پذيري ياد شده است.

در حالي كه شركت امنيتي Secunia و CERT درباره‌ي كد مخرب و منتشر شدن اين آسيب پذيري هشدارهايي ارايه كرده‌اند، مايكروسافت اعلام كرده است كه هنوز نشانه‌اي از اين آسيب پذيري مشاهده نكرده است. اين شركت گفته است: « ما از وجود كدهاي مخرب و آسيب پذيري گزارش شده اطلاعي نداشته‌ايم، اما با پشتكار فراوان در حال بررسي گزارش‌هاي عمومي هستيم.»

هنوز patchي براي اين نقص موجود نيست، اما كامپيوترهايي كه سرويس پك 2 ويندوز XP بر روي آن‌ها اجرا مي‌شود، در مقابل اين آسيب پذيري ايمن هستند.

مايكروسافت اعلام كرده است كه به بهترين نحو از كاربران ويندوز حمايت خواهد كرد. اين پشتيباني ممكن است شامل ارايه‌ي برنامه‌اي براي برطرف كردن آلودگي‌ها از طريق عرضه‌ي patch ماهيانه و يا برنامه‌ي روزآمد ساز امنيتي برون از چرخه‌اي باشد.

قابل توجه امیر پی سی

وجود حفره امنيتي در هسته لينوكس

همشهري : يكي از اصلي ترين توزيع كنندگان لينوكس، از وجود يكي از خطرناك ترين حفره هاي امنيتي در هسته اصلي نسخه ۶/۲ لينوكس خبر داد.
به گزارش زد دي نت، SuSE اعلام كرده است كه اين حفره امنيتي مي تواند به حمله كنندگان امكان دهد تا سيستم هاي عامل نرم افزار مبتني بر نسخ ۶/۲ را از كار بياندازند.
هسته ۶/۲ كه اواخر سال گذشته به توليد رسيد، برخي از ويژگي ها و قابليت هاي سازماني را به لينوكس مي افزايد، اما همچنان در بازار به عنوان يك محصول آزمايشي شناخته مي شود.
شركت Red Hat، بسياري از ويژگي هاي مهم ۶/۲ را براي استفاده در Enterprice Linux به هسته ۴/۲ منتقل كرده و در اين باره گفته است كه هسته قديمي تر داراي ثبات بيشتري است. در حالي كه شركت ManddrakeSoft نسخه ۶/۲ را براي كاربران عادي معرفي كرده است.
SuSE ادعا كرده است كه اولين شركتي خواهد بود كه نسخه ۶/۲ را براي سيستم عامل لينوكس و به همراه SuSE Linuxe9.۱ در بهار آينده معرفي خواهد كرد.
گفته شده است كه مهاجمان مي توانند براي از كار انداختن سيستم ها، از بسته هاي makform استفاده كنند.
كاربران مي توانند به عنوان جانشيني براي روزآمد ساختن اين هسته، ديوار آتش فعال شده بخش هاي IP و TCP را از كار بياندازند، اما به آنان توصيه نمي شود كه اقدام به انجام چنين امري كنند. محصولاتي كه از هسته ۴/۲ استفاده كرده و آن را اجرا مي كنند، شامل محصولات سرورهاي سازماني شركتهاي Red Hat و ManddrakeSoft بوده كه توسط باگ ها آلوده نمي شوند.
اين باگ ها، محصولاتي چون SuSE Linuxe9.۱ و سرور SuSE Linuxe Enterprice9 را تحت تأثير قرار مي دهند، اما SuSE Linuxe9.۲ به اين دليل كه از نسخه ۸/۶/۲ هسته اصلي استفاه مي كند كه مشكلات موجود در آن برطرف شده، تحت تأثير آلودگي هاي موجود واقع نمي شود. SuSE ، نقص ها و آسيب پذيري هاي كم خطرتري را Patch كرده است كه قادر بوده اند امكان دستيابي به امتيازات اساسي را براي كاربران فراهم سازند. اين باگ تنها SuSE9 را كه بر روي s/۳۹۰ قرار دارد، تحت تأثير قرار مي دهد.
شركت امنيتي Secunia اعلام كرده است كه اين نقص بازدارنده سرويس از نظر خطرناك بودن در رده متوسطي قرار مي گيرد، زيرا به حمله كنندگان امكان ناسازگار كردن سيستم ها را نمي دهد. اين دومين باگ در نسخه ۶/۲ بوده كه از نظر خطرناك بودن در چنين سطحي قرار مي گيرد.
نخستين باگ از نوع بازدارنده سرويس بوده كه در ژوئيه گذشته منتشر شده است.

انتشار اسامي 10 ويروس برتر ماه اکتبر توسط Sophos

شرکت امنيتي Sophos فهرست ده ويروس مخربي را که بيشترين مشکل را براي شرکتهاي تجاري و کاربران کامپيوترهاي شخصي در ماه اکتبر سال 2004 ايجاد کرده بودند اعلام کرد.

به گزارش بخش خبر تراشه از سايت امنيتي Sophos، اين گزارش که حاوي مانيتور کردن شبکه هاي جهاني مي‌باشد، نشان مي دهد Netsky-P و Zafi-B به ترتيب در مرتبه اول و دوم اين نمودار قرار دارند که ویروس Zafi-B برای اولین بار در ماه ژوئن پدیدار شد.



شما مي توانيد 10 ويروس برتر ماه اکتبر 2004 را در زير مشاهده نماييد:


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


کارول تریالت، مشاور امنیتی در Sophos اعلام داشت: "تنها با یک ثبت جدید که در پایین این جدول قابل مشاهده است، همچنان تسلط و نفوذ دو ویروس Netsky-P و Zafi-B ادامه دارد. این دو ویروس بسیار رایج و مقاوم هستند و و رقیبانی بسیار سخت برای ویروس‌های جدید تلقی می‌شوند. هزاران کپی از آنها در سرتاسر دنیا پخش شده است و برای کلیه کامپیوترهایی که دارای یک سیستم امنیتی مناسب نباشند تهدید جدی و بالقوه‌ محسوب می‌شوند."

شيوع گسترده hoax در ياهو مسنجر


پژوهشگران امنيتي به كاربران نسبت به شیوع hoax هايي (شوخي فريب آميز) هشدار دادند كه از طريق سرويس ياهو مسنجر در بين كاربران براي ايجاد وحشت در بين آنها پخش شده و به كاربران درمورد ويروس بسيار مخوف و وحشتناكي هشدار مي دهند.

hoax هاي ياهو مسنجر به (قاتل هارد درايو ) نيز مشهور مي باشند كه به كاربران هشدار مي دهد كه كامپيوتر شما در شرف آلودگي با ويروس بسيار وحشتناكي است .Sophos تعداد بسيار زيادي گزارش از شيوع گسترده hoax ها از كاربران دريافت كرده است كه كه حتي از طريق ايميل و message board های اینترنت نيز فرستاده شده است.

Graham Cluley رئيس بخش امنيتي Sophos گفت : كه اين هشدارها كاملا مزخرف و دروغ است و چنين ويروسي اصلا وجود ندارد. اگرچه خود اين hoax ها و نامه هاي زنجيره اي بي ضرر نيستند و پهناباند و زمان را پايمال مي كنند و درد سرهايي براي بخشهاي پشتيباني به وجود مي آورند.

نمونه اي از پيام اين hoax ها را در زير مي خوانيد:

اگر كسي با نام dvorak@yahoo.com شما را add كرد درخواست او را قبول نكنيد زیرا كه وی يك ويروس خطرناك است . اين پيغام را براي همه افراد موجود در ليست خود نيز بفرستید چونكه اگر يكي از افراد درون ليست شما از روي بي اطلاعي اين ويروس را بگيرد تو هم ويروسي مي شوي پس همه افراد درون ليست خود را از از اين مسئله آگاه كن و بگو كه پيامي را كه از angell11, tewwtuler, و sassybitch باشد باز نكنند كه قاتل هارد درايو و ويروس بسيار مخوف و معدومي است.
مخلصانه وصادقانه :رئيس سرويس هاي ياهو
لطفا بر روي ليست خود راست كليك كن و اين پيغام را براي همه بفرست.

فرستادن چنين hoax هايي بسيار آسان مي باشد و متخصصين از كاربران مي خواهند تا قبل از فرستادن هر متني براي دوستان و افراد درون ليست خود حتما آنرا چك كنند تا از ايجاد مزاحمت و وحشت در ديگران جلوگيري شود.

83.8.19

كرم Forbot-BC


همكاران : Forbot-BC كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد شد.
اين كرم خودش را در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود:
KLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
پس از اولين اجرا كرم فعاليتهاي زير را كه آموزشهايي از طرف مهاجم مي باشد را اجرا مي كند:

- setup a SOCKS4 proxy
- setup a HTTP proxy
- delete network shares
- partake in denial of service (DDOS) attacks
- port scan IP addresses
- download and run files from the Internet
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Run
= svhost.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

كرم Rbot-PC


Rbot-PC از خانواده كرم هاي Rbot مي باشد كه مانند يك در پشتي عمل مي كند كه در شبكه هاي share شده با پسورد ضعيف منتشر مي شود و هدف آن سيستم هاي ويندوزي است.

كرم منتشر مي شود تا دستورات مخصوصي را از طريق جستجو در آدرسهاي IP تصادفي ارسال كند ،براي اين منشور SMB پورت (445) را باز مي كند و سعي مي كند خودش را در پوشه ويندوز روي share هاي Admin$ و C$ كپي كند.

اين كرم از يك لغت نامه داخلي عمومي استفاده ممي كند تا بتواند به پسورد ها دسترسي داشته باشد.

Rbot-PC يك فهرست از فايل هاي كپي شده تهيه مي كند تا آنها را روي سيستم اجرا كند.همچنين قابليت جستجو كردن روي سيستم هاي ويندوزي را دارد تا در آنها آسيب پذيري هاي عمومي را پيدا كند ،مانند آسيب پذيري LSASS و پورت هاي باز شده توسط كر مهاي ديگرمانند Bagle يا MyDoom .

كرم Rbot-PC همچنين يك در پشتي است كه به مهاجم اجازه مي دهد به سيستم آلوده دسترسي داشته باشد.پس از اجرا كرم به يك كانال IRC نتصل مي شود و يك كانال مخصوص در آنجا ثبت مي كند تا دستورات را از مهاجم دريافت كند.

اين كرم مانند ديگر عضو هاي خانواده Rbot قابليت انجام اعمال زير را دارد:

allow a remote user to set up a proxy server

start a HTTP server on a user specified port

collect system information

add or delete shares and users

kill processes

download and execute files

send email

remotely control a connected web cam

sniff network traffic

log keystrokes

steal keys for certain games or launch various denial-of-service attacks against an attacker-specified target.

كرم پس از اجرا خودش را در پوشه ويندوز با نام csrse.exe كپي مي كند تا با اجراي ويند.وز كرم نيز اجرا شود و مدخل زير را در رجيستري قرار مي دهد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoft Registrycsrse.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Registrycsrse.exe.



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

در ضمن به علت كپي هاي مختلفي كه اين كرم در پوشه هاي Share شده ايجاد مي كند بهتر است كه از آنتي ويروس براي پاك كردن آن استفاده كنيد.

سهل انگاري I S P ها باعث سرقت اطلاعات كاربران مي شود

همشهري : تنظيم نادرست سرور «حافظه پنهان (CACHE)» در بخش فني مراكز ارائه دهنده خدمات اينترنتي (ISP) باعث در دسترس همگان قرار گرفتن اطلاعات كاربران و سرقت آنها مي شود.
«حافظه پنهان ((CACHE» يك زيرسيستم خاص حافظه است كه در آن يك نسخه از صفحاتي كه اغلب مورد استفاده قرار مي گيرد ذخيره شده تا بتوان سريع تر به آنها دست يافت.
«عليرضا اقتداري» مدير يك مركز ISP در اصفهان در اين باره به ايرنا گفت: برخي از مراكز ISP اقدام به قرار دادن صفحات مربوط به ارسال شناسه كاربري (ID) و رمز (Password) در سرور حافظه پنهان مركز خود به صورت ذخيره شده مي كنند.
وي افزود: اكثر صفحاتي كه عمل ارسال (submit) يا اتصال (Loggin) اين اطلاعات مهم و شخصي را انجام مي دهند و به هنگام قرار گرفتن در سرور حافظه پنهان باعث ايجاد مشكلات فراواني مي شوند.
وي ادامه داد: با ذخيره شدن صفحات ارسال در سرور حافظه پنهان، هرگاه كاربر جديدي به مركز ISP مورد نظر متصل شده و شناسه و رمز خود را وارد سايت ذخيره شده كند با صفحه اصلي كاربر قبلي استفاده كننده از پهناي باند مركز ISP مواجه مي شود.
وي اضافه كرد: در نتيجه، كاربر جديد مي تواند به كليه اطلاعات كاربر قبلي دسترسي پيدا كرده و در صورت تمايل آنها را به نفع خود سرقت و استفاده كند.
اقتداري تصريح كرد: اين پديده در برخي از مراكز ارايه دهنده خدمات اينترنتي در ايران به وجود آمده، به طوري كه اطلاعات شخصي كاربران آنها در اختيار همگان قرار گرفته است.
مدير اين مركز ISP خاطر نشان كرد: بيشتر مشكلات به وجود آمده در باره صفحات پست الكترونيكي (E-mail) محيط هاي گفتمان (Chat) و سايت هاي دوست يابي مانند اركات (Orkut) است.
وي با اشاره به اين كه اكثر صفحات ارسال اطلاعات داراي استانداردهاي نرم افزاري «پي.اچ.پي (PHP)» و «اي .اس.پي (ASP)» هستند، گفت: مديران بخش فني مراكز ISP تا حد امكان بايد از قرار دادن اين صفحات در سرور حافظه پنهان خودداري كنند.
به گفته وي، برخي از مديران فني مراكز ISP بدون توجه به رعايت مسايل امنيتي و ارايه كيفيت مطلوب اينترنت به كاربران و تنها براي صرفه جويي در هزينه ها و مصرف پهناي باند خود اقدام به قرار دادن صفحات پربيننده در سرور حافظه پنهان خود مي كنند.

تروجان Banker-AA


Banker-AA تروجاني است كه به پسوردها دستبرد مي زند و مشتري هاي بانك هاي برزيلي را زير نظردارد.
اين تروجان اينترنتي كه وقتي به سيستم كاربر دسترسي پيدا كند براي مدتي اعمال او را ديده باني مي كند. وقتي سايتها در حال مشاهده هستند تروجان يك صفحه جعلي را نمايش مي دهد تا كاربر را درباره جزئياتش بفريبد.URL هاي زير ديده باني مي شوند:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
تروجان پس از دستبرد جزئيات را به آدرس ايميلي در برزيل مي فرستد.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky


كرم Pikis-B

همکاران : شرح:Pikis-B كرمي است كه با پست الكترونيكي منتشر مي شود . اين ايميل ها توسط سيستم هاي آلوده ارسال مي گردد و كرم به صورت يك فايل الحاقي به آن منتشر مي گردد.
اين ايميل شامل مشخصات زير مي باشد :
فرستنده از يكي از نام هاي زير انتخاب مي گردد:
lehab_2003@mail.ru
aleksey_lopatin@mail.ru
forsv@inbox.ru
yp@bk.ru
dan-1@mail.ru
umount77@mail.ru
ske2@mail.ru
VGDD@mail.ru
Alex_mist@mail.ru
ded120@mal.ru
85laker@list.ru
kit75@mail.ru
suslov67@bk.ru
mitjavp@mail.ru
sergey_grand@mail.ru
antiwormx@mail.ru
s_sten@mail.ru
موضوع نامه :
Forum
Cracks
Hello

محتواي نامه :
<non-Roman characters with the URL [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] or [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]>
or
You Password: TreWQWQ90 Login:Trast666 For access install package. Enjoy!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Access Denied!!!
Please enter password:JJJK56RtE and install package upgrade!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] Enjoy.
فايل الحاقي يكي از نامهاي زير مي باشد:
Setup.exe
crack.exe
crack_setup.exe
GetAdmin.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در فايل system.ini در زير شاخه [boot] اگر با مدخل زير برخورد كرديد آن را نيز پاك كنيد :
shell=Explorer.exe systems.exe
حال دوباره سيستم خود را راه اندازي كنيد.
در ضمن پسورد هاي سيستم ها را نيز تغيير دهيد و تمامي فايلهاي اشاره شده در پايين را از سيستم خود پاك كنيد.

شرح اضافه :
در اولين اجرا پيام زير نمايش داده مي شود :
Install Crack for WindowsXP Sp2 99.006.34?
and
Not found package WindowsXP Sp2!

و سپس خودش را به يكي از نامهاي زير در شاخه سيستمي ويندوز كپي مي كند :
fttp.exe
Crack_Bat.exe
systems.exe
iq.dat

Kipish1.dat
Kipish2.dat
Kipish3.dat

و مدحل هاي رجيستري زير را نيز ايجاد مي كند :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot\shell = progman.exe systems.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe systems.exe

همچنين خط زير را نيز به زير شاخه [boot] سيستم نيز در فايل System.ini اضافه مي كند :
shell=Explorer.exe systems.exe
Pikis-B پروسه هاي زير را نيز خاتمه مي دهد :
outpost.exe
zonealarm.exe
guard.exe
spyxx.exe
t ds-3.exe
nprotect.exe
vsstat.exe
mcupdate.exe
taumon.exe
sphinx.exe
atupdater.exe
webscanx.exe
frw.exe
blackice.exe
update.exe
drweb32.exe
netstat.exe
avp.exe
kav.exe

تروجان Bancos-AC


Bancos-AC تروجاني است كه به پسوردهاي موجود در سيستم هاي ويندوزي دستبرد مي زند. اين تروجان به URL هايي كه در جستجوگر وب وجود دارد گوش مي دهد و صفحات وب جعلي براي سايتهاي بانكهاي برزيلي ايجاد مي كند تا اطلاعات موجود در آنها را گزارش دهد و آنها را به آدرسهاي از پيش تعيين شده بفرستد.
همچنين براي اجرا شدن به همراه ويندوز مدخل هاي زير را در رجستري ايجاد مي كند :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \msmsgr

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.
در ضمن فراموش نكنيد كه پسوردهاي سيستم خود را نيز تغيير دهيد.

تروجان Winshel-D


Winshel-D يك تروجان ايجاد كننده در پشتي است .اين تروجان به پورت 5277TCP گوش مي دهد تا يك ارتباط برقرار شود(البته اي پورت مي تواند طبق دستوراتي كه دريافت مي شود تغيير يابد.مهاجم با يك پسورد صحيح وارد مي شود ("1234") و توانايي اين را دارد كه كامپيوتر را خاموش كند و يا فايلي را در يافت كند يا دستورات سيستمي را اجرا كند.
Winshel-D سعي مي كند يك كپي به روز شده از خودش را دانلود كند و روي Startup اجرا كند.در سيستم هايي كه با ويندوز NT كار مي كنند تروجان خودش را به صورت سرويسي با مشخصات زير ثبت مي كند:
service name: "winshell"
display name: "WinShell Service"
description: "Provide Windows CmdShell Service"
و در ويندوزهاي 98 مدخل هاي زير را به رجيستري اضافه خواهد كرد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
اين path به پوشه اصلي كه تروجان در آن ذخيره شده است اشاره مي كند.
توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winshell = "<path>"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Winshell = "<path>"
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

نسخه‌ی جدید ویروس MyDoom وارد شبکه‌ی اینترنت شد

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

محققان ضدویروسی اعلام کردند که نسخه‌ی دوم ویروس اینترنتی MyDoom در شبکه‌ی اینترنتی منتشر شده است .
به گزارش سرویس بین‌الملل ایسنا ، این دو نسخه از ویروس MyDoom که در نحوه‌ی ارسال پست الکترونیکی به قربانیان احتمالی با یکدیگر تفاوت دارند از نرم افزار گشایشگر مایکروسافت برای آلوده کردن رایانه‌های شخصی پس از یک کلیک ساده کاربر بر روی لینک WEB استفاده می‌کنند ، اما این ویروس‌ها قادر نیستند در مقیاس‌های بسیار گسترده منتشر شوند .
تاکنون تنها 40 مورد از سیستم‌های آلوده شده به این ویروس در کمپانی ضدویروسی Symantec شناسایی شده است .
مهمترین برای جلوگیری از فعالیت این ویروس احتیاط کاربران در باز کردن فایل‌های ضمیمه و پست‌های الکترونیکی ناخواسته از منابع شناخته شده یا ناشناخته است .
نسخه‌ی جدید ویروس فوق به عنوان یک پست الکترونیکی در Inbox ظاهر ‌شده و پیغامی که در شامل دو عبارت ذیل را اعلام می‌کند :

1- ‌‌Look at my homepage with my last wedcam photos
2- FREE ADULT VIDEO!SIGN UP NOW

گفتنی است تمام پیغام‌ها حاوی متنی هستند که آن‌ها را به یک صفحه‌ی وب که توسط ویروس تولید شده است مرتبط می‌کند

منبع : تالار وب

كرم Decod-A

كرم Decod از طريق اضافه شدن به يك ايميل خودش را منتشر مي كند.اين كرم خودش را در شبكه هاي share شده كپي مي كند. همچنين قابليت اين را دارد كه گزارشهايي را به سايتهايي كه در آدرسهاي از پيش تعين شده روي كامپيوتر كاربر قرار دارد ارسال كند.
كرم پيغامي را با محتوي ساده اي مثل "Please see attachment for detail" وبه همراه فايل الحاقي با پسوند an .mdb ارسال مي كند تا به database دسترسي پيدا كند.
Decod-A مدخل رجيستري را به صورت زير تغيير مي دهد :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
همچنين كليدها را تغيير مي دهد و در كپي جديدي از كرم با نامي مشابه مثل key. e.g. قرار مي گيرد و اگر فايل اصلي abc.exe است كرم يك كپي از abc<space>.exe ايجاد كند.
كرم ويروسهاي بي ضرري را در فايلهاي text مثل فايلهاي زير ايجاد مي كند:

C:\recycled\attachmailer.att
C:\recycled\submailer.sub
C:\recycled\textmailer.tex
%windows%\decghitienellsid.jef
%windows%\hgeticudowldi.hhh
توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

ويروسي که SMS مي فرستد

به تازگي ويروس جديدي در اينترنت پديدار شده که با در اختيار گرفتن کنترل کامپيوترهاي شخصي از آنها براي ارسال SMS به تلفنهاي همراه استفاده مي کند. اين SMS ها عمدتا حاوي پيامهاي تبليغاتي هستند و کارکردي مشابه با روزنامه هاي اينترنتي دارند.

اين ويروس که Delf-HA نام دارد پس از آلوده کردن کامپيوتر به يک وب سايت متصل شده و هرزنامههاي مورد نظر را از آن دريافت ميکند.

اين ويروس در ادامه خود را براي مجموعه اي از شماره هاي تلفن هاي همراه در روسيه که با شماره هاي 7921 و 7911 آغاز ميشوند ارسال ميکند.

کارشناسان هشدار داده اند که ممکن است تکنيکهاي مشابهي براي ارسال هرزنامه براي کاربران تلفن همراه درآينده به کار گرفته شود.

كرم Rirc-D

83.8.25
Rirc-D جزء آن دسته از كرمهايي است كه با كپي شدن در شبكه هاي share شده و از طريق آدرسهاي IP تصادفي كه پسورد ضعيف دارند منتشر مي شود.كرم سعي مي كند با يك سرور IRC دور دست ارتباط برقرار كند و به يك كانال مخصوص وصل شود وسپس اطلاعات را براي آن ارسال كند.
پس از اولين اجرا كرم خودش را با نام FF.EXE و الحاقاتش در پوشه ويندوز ذخيره مي كند و هرگاه ويندوز اجرا شود كرم نيز به صورت خودكار اجرا مي شود.
همچنين كرم به ويندوز هاي NT,2000,XP نيز اضافه مي شودو مدخل زير را به رجيستري اضافه مي كند تا روي Startup اجرا شود:
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

هر وقت كرم اجرا شود به آدرسهاي IP تصادفي روي پورت 139و445 متصل مي شود و خودش را به صورت XI.EXE در پوشه هاي زير كپي مي كند:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
كرم سعي مي كند به كامپيوتر مدير مصل شود تا به ليستس از پسورد هاي ضعيف دسترسي پيدا كندو اگر schedule service روي كامپيوتر كاربر فعال است كرم يك ليست جديد از كارها ايجاد كند وكپي از كرم را اجرا كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Sofware\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و در دايركتوري هاي زير فايل هاي مربوط به ويروس را پاك كنيد :
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\WINDOWS\Start Menu\Programs\Startup\
\WINNT\Profiles\All Users\Start Menu\Programs\Startup\

حال سيستم خود را دوباره راه اندازي كنيد.

كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

كرم Agobot-ND


Agobot-ND كرمي است كه مانند تروجان در پشتي عمل مي كند و در كامپيوتر هايي كه با پسورد ضعيف مي باشند و ياآسيب پذيري LSASS را دارند منتشر مي شود.
كرمAgobot-ND يك فايل كمك دهنده را در پوشه ويندوز با نام wormride.dll ايجاد مي كند.
پس از اولين اجرا كرم خودش را با نام sounofts.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را به رجيستري اضافه مي كند:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sounofts = sounofts.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\sounofts = sounofts.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
كرم به طور پيوسته روي پس زمينه اجرا مي شود و دسترسي به سيستم را ممكن مي سازد.
Agobot-ND همه برنامه هاي امنيتي و آنتي ويروسها را از كار مي اندازد و فايل هاي HOST را در %WINDOWS%\System32\Drivers\etc\HOSTS تغيير مي دهد و اجازه دسترسي به وب سايت هاي آنتي ويروس را نمي دهد. بر همين اساس آدرس هاي سايتهاي آنتي ويروس به آدرس برگشت انتقال داده مي شود.
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 sophos.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 avp.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 networkassociates.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
27.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
127.0.0.1 [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یه سوال جدی و مهم
هدف مردم از ساخت ویروسهایی که بره خود سازندهشون کاربرد نداره و کامپیوترا رو داغون میکنه چیه؟

نمیشه مشخص کرد
چند وقت پیش ویروسی برای حمله به سایتهای دولت مجارستان روی وب اومد که اتفاقا خیلی هم خطر ناک شد
یا جنبه های اقتصادی یا سیاسی و بعضی ها هم بیمارن

مايكروسافت نقايص يافت شده در XP SP2 را بررسي مي‌كند


۲۵ آبان ۱۳۸۳

مايكروسافت اعلام كرده است كه در حال بررسي ادعاهايي درباره‌ي آسيب پذيري‌هاي متعدد و جديدي است كه در سرويس پك 2 ويندوز توسط شركت امنيتي Finjan Software در سن حوزه يافت شده است. Finjan اعلام كرده است كه در حدود 10 نقص جدي و خطرناك در SP2 كشف كرده است.

بر طبق گفته‌هاي Gil Arditi، مدير امنيت Finjan، برخي از آسيب پذيري‌هاي يافت شده مي‌توانند توسط هكرها مورد سو استفاده قرار گيرند تا بدين طريق بتوانند كنترلي از راه دور بر روي سيستم‌ها به دست آورده و يا كدهاي مخرب را بر روي كامپيوترها اجرا كنند.

Finjan درباره‌ي آسيب پذيري‌هاي ياد شده به مايكروسافت هشدار داده و تمامي جزييات فني مناسب و مربوطه را با اين شركت در ميان گذاشته است. Finjan همچنين براي اثبات گفته‌هاي خود، برنامه‌ي اثبات مفهومي (proof-of-concept) توليد كرده است كه مي‌تواند از نقايص ياد شده موجود در سرويس پك 2 ويندوز XP سو استفاده كند.

Finjan با استفاده از سياست‌هاي معمول خود، تا زماني كه مايكروسافت patch هاي خود را براي نقايص يافت شده در دسترس قرار ندهد، هيچ برنامه‌اي براي عمومي كردن جزييات آسيب پذيري‌ها ندارد، اما اين شركت امنيتي برنامه‌هاي متعددي را ارايه كرده كه به شرح و توصيف چگونگي سو استفاده‌ي هكرهاي مخرب از حفره‌هاي امنيتي SP2 براي دسترسي به فايل‌هاي كاربران از راه دور و اجراي كدهاي مخرب بدون مداخله و اجازه‌ي كاربران مي‌پردازد.

اين شركت گفته است كه با به كار گيري تمامي آسيب پذيري‌هاي كشف شده در SP2 توسط Finjan، هكرها مي‌توانند به آرامي و از راه دور، هنگامي كه كاربران در حال مرور صفحه‌هاي وب هستند، به ماشين‌هاي داراي SP2 دسترسي پيدا كنند.

Finjan گفته است كه اخبار كشفيات خود را به صورت بخش بخش ارايه كرده است، زيرا بسياري از كاربران پس از نصب سرويس پك 2 ممكن است به تصور اين كه ديگر مشكلات امنيتي وجود ندارند، سرويس‌هاي محافظ امنيتي خود را از كار بياندازند.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت از ادعاهاي Finjan مطلع بوده و در حال بررسي آن‌ها است. وي گفته است كه در حال حاضر مايكروسافت نمي‌تواند ادعاهاي Finjan را مبني بر وجود 10 آسيب پذيري در SP2 تاييد و تصديق كند.

مايكروسافت همچنين از وجود حملاتي كه در تلاش براي بهره گيري از نقايص گفته شده توسط Finjan هستند، اطلاعي ندارد. اين شركت گفته است: « بررسي‌ها و تحليل‌هاي اوليه‌ي ما نشان دهنده‌ي آن است كه ادعاهاي Finjan درباره‌ي تعداد و ميزان جدي بودن آسيب پذيري‌هاي سرويس پك 2 ويندوز XP، فريبنده و اشتباه بوده است.

مايكروسافت همچنين اعلام كرده است كه چنانچه هرگونه آسيب پذيري واقعي و صحيحي در Windows XP SP2 يافت شود، اين شركت هرگونه اقدام و فعاليت فوري و مناسبي را براي پشتيباني و حفظت مشتريان در پي خواهد گرفت.

تروجان Hackarmy


Hackarmy تروجان در پشتي IRC مي باشد كه با نامهاي win32server.scr يا win32server.exe در پوشه ويندوز ذخيره مي كند و يكي ازمدخل زير را در رجيستري ايجاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe

تروجان خودش را در يك سرور IRC كه از پيش تعين شده ثبت مي كند و منتظر دستورات مي ماند تا از در پشتي دريافت كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = wn32server.scr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Winsock32driver = win32server.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

كرم Bagle-AC


Bagle-AC از خانواده كرمهاي Bagle مي باشد كه از طريق ايميل منتشر مي شوند. پس از اجرا كرم خودش را با نام loader_name.exe در پوشه ويندوز ذخيره مي كند و فايلهاي ديگري را كه در نام آنها كلمه open باشد نيز در آنجا ذخيره مي كندسپس در پنجره اي با تيتر eror پيغام زير نمايش داده مي شود:
"Can''t find a viewer associated with the file"

سپس كرم شروع مي كند به پاك كردن مدخل هاي رجيستري كه مربوط به مسائل امنيتي ويندوز و محصولات آنتي ويروس و برنامه هاي امنيتي مي باشد.
به عنوان مثال مدخل هاي زير در صورتي كه به اسامي زير اشاره كند پاك مي شوند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
Bagle-AC زمان را بررسي مي كند و اگر بعد از 25 ژانويه 2005 باشد تمامي برنامه هاي بالا را خاتمه مي دهد.
اين كرم سپس خودش را به اسامي زير در تمامي پوشه هاي share شده كپي مي كند:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, ---, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

كرم خودش را از طريق ايميل منتشر مي كند .Bagle-AC فايلهايي را كه شامل پسوند هاي زير مي باشند براي يافتن آدرسهاي ايميل جستجو مي كند:

WAB, TXT, MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM, JSP
اين كرم به همراه يك فايل HTML در يك ايميل براي كاربران ارسال مي گردد.
ايميلي كه توسط اين كرم ارسال مي شود داراي مسخصات زير است :
موضوع نامه:
Re: Msg reply
Re: Hello
Re: Yahoo!
Re: Thank you!
Re: Thanks :)
RE: Text message
Re: Document
Incoming message
Re: Incoming Message
RE: Incoming Msg
RE: Message Notify
Notification
Changes..
Update
Fax Message
Protected message
RE: Protected message
Forum notify
Site changes
Re: Hi
Encrypted document

متن نامه :

Read the attach.<br><br>
Your file is attached.<br><br>
More info is in attach<br><br>
See attach.<br><br>
Please, have a look at the attached file.<br>
Your document is attached.<br><br>
Please, read the document.<br><br>
Attach tells everything.<br><br>
Attached file tells everything.<br><br>
Check attached file for details.<br><br>
Check attached file.<br><br>
Pay attention at the attach.<br><br>
See the attached file for details.<br><br>
Message is in attach<br><br>
Here is the file.<br><br>

وپسوردي كه براي باز كردن فايل ZIP نياز است در قالب يك عكس ارسال مي گردد.متني كه در اين عكس قرار دارد به شرح زير است:

<br>For security reasons attached file is password protected.
The password is <img src="cid:<imagefile>"><br>
<br>For security purposes the attached file is password protected.
Password -- <img src="cid:<imagefile>"><br>
<br>Attached file is protected with the password for security reasons.
Password is <img src="cid:<imagefile>"><br>
<br>In order to read the attach you have to use the following
password: <img src="cid:<imagefile>"><br>
<br>Note: Use password <img src="cid:<imagefile>"> to open archive.<br>
<br>Archive password: <img src="cid:<imagefile>"><br>
<br>Password - <img src="cid:<imagefile>"><br>
<br>Password: <img src="cid:<imagefile>"><br>.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از ان تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد. در صورت نياز برنامه آنتي ويروس خود را دوباره نصب كنيد.

حمله كرم اينترنتي به كاربران مكينتاش

كرم جديد، ديوارهاي آتشين مكينتاش را به هم مي ريزد. متخصصان امنيت كامپيوتري در دبي مي گويند: يك كرم جديد اينترنتي مي تواند در ديوارهاي آتشين شبكه كامپيوتري مكينتاش نفوذ كند. كارشناسان به كاربران خدمات مكينتاش هشدار داده اند كه كرم SH/Renepo كه به Opener نيز معروف است، در صدد است ديوار آتشين و ديگر نرم افزارهاي امنيتي اين شركت را از كار بيندازد.
اين كرم عمداً كاربراني را هدف قرار داده كه از سيستم عامل Mac OS-X استفاده مي كنند.

باج خواهي هکرها از يک ISP

يک مرکز ISP در اصفهان در پى تهديد به هك شدن دامنه اينترنتى (domain) اين مركز از طرف يك تيم هكر (نفوذگر اينترنتى) به مراجع قضايى شکايت کرد.
حميد غفارى يکى از مديران اين مرکز ISP در گفت‌وگو با ايرنا افزود: يک تيم هکر سه هفته پيش اقدام به نفوذ به پست الکترونيکى (E-MAIL) ثبت کننده (REGISTER) دامين سايت اينترنتى اين مرکز کرد و توانست به اطلاعات دامنه اين مرکز دسترسى يابد.
وى افزود: اين تيم هکر در تماس‌هاى مکررى که با مديران مرکز ISPداشت تهديد به سرقت دامين‌هاى موجود و تغيير صفحات سايت اينترنتى متعلق به اين مرکز ISP کرد.
به گفته غفارى اين تيم هکر براى عدم تحقق تهديد خود خواستار دريافت مبالغى وجه نقد شده بود.

كرم Sdbot-QF

كرم Sdbot-QF كرمي است با قابليت هاي در پشتي براي سيستم هايي ويندوزي مي باشد و از طريق شبكه هاي share شده خودش را منتشر مي كند. اجازه مي دهد مهاجمي در دور دست به سيستم آلوده دسترسي داشته باشد.
پس از اجرا كرم خودش را با نام service.exe در پوشه ويندوز كپي مي كند تا با اجراي ويندوز كرم نيز اجرا شود و مدخلهاي زير را در رجيستري ايجاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

كرم Sdbot-QF در سيستم هاي ديگر از طريق آسيب پذيري LSASS منتشر مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3- اصلاحيه هاي مايكروسافت را نصب كنيد (MS04-011 )
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB2. Driver
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\\Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB2.0 Driver
HKCU\Software\Microsoft\Windows\CurrentVersion

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

كرم Funner-A


Funner-A كرمي است كه در سيستم هاي ويندوزي منتشر مي شود كه داراي برنامه مسنجر MSN مي باشند.
پس از اجرا كرم يك كپي از خود با نام rundll32.exe يا يكي از نامهاي explorer.exe, iexplore.exe userinit32.exe در پوشه ويندوز ايجاد مي كند تا با اجراي ويندوز كرم نيز به طور خودكار اجرا شود .كرم مدخل هاي زير را در رجيستري قرار مي دهد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \

Funner-A همچنين system.ini را توسط اضافه كردن EXPLORER.EXE در زير شاخه shell= تغيير مي دهد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \MMSystem =
<Windows>\rundll32.exe \" <Windows>\<system>\mmsystem.dll\"\", RunDll32

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
<Windows>\<system>\userinit32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد در ضمن در فايل SYSTEM.INI در صورتيكه كه در زير شاخه shell= نام فايلي ديده شد آن را نيز حذف كنيد. و دوباره سيستم خود را راه اندازي كنيد.

شرح اضافه :
همچنين اين كرم با اضافه شدن به بخش HOSTS هاي سيستم باعث مي شود تا كاربر در هنگام متصل شدن به يكي از سايتهاي زير به آدرس 222.89.98.219 هدايت شود.
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"9i0.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"9flash.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"nowok.net"
"wisa.com.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wisa.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"zhao99.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wo123.com"
"wo99.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"page.com.cn"
"wysw.com"
"14.com.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"cnww.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"mv99.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"3tom.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"skywz.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"hao6.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"zzkan.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"ca183.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"yhjm.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"xx[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"ok135.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"link999.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"001wz.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"7t7t.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"7k7k.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"webcool.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"51sobu.com"
"cy.51sobu.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"msncn.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"8goo.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"baimin.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"bwwz.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"howow.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"tongchi.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"7o7o.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wangzhiku.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"soyeah.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"sowang.cn"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"look8.net"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"
"wblink.com"
"[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]"

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
این مورد با نصب اس پی 2 ایجاد میشه یا از قبل هم بوده؟

نه مال خود اس پی 2دیگه
اینا البته هنوز از طرف مایکروسافت تائید نشده

كرم Traxg-B

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Traxg-B كرمي است كه از طريقoutlook Microsoft منتشر مي شود و توانايي اين را دارد كه فايل C:\folder.htt را ايجاد كند اين فايل ممكن است پاك شده باشد.
اين كرم خودش را با نامهاي تصادفي در مكانهاي زيادي كپي مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم بتواند به راحتي روي سيستم اجرا شود:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
همچنين توانايي اين را دارد كه مدخل هاي زير را در رجيستري قرار دهد تا باعث تغيير در عملكرد Windos Explorer شود .
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Hidden = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\HideFileExt = 1

توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \TempCom
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Netsky-AD

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


جزء آن دسته از كرمهايي است كه از طريق ايميل و شبكه هاي share شده منتشر مي شود.
پس از اجرا كرم خودش را در پوشه ويندوز با نامي شبيه MsnMsgrs.exe منتشر مي كند و مدخل زير را در رجيستري ايجاد مي كند تا كرم به طور خودكار روي سيستمي كه reboot شده اجرا شود.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev

كرم Netsky-AD درايوها را براي يافتن فايلهايي با پسوند هاي زير جستجو مي كند تا آدرسهاي ايميل پيدا كند:
SCS, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT and EML
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MsnMsgr = %WINDOWS%\MsnMsgrs.exe –alev
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :
همچنين كرم در پوشه هايي با محتوي كلمات `share` و `sharing` كه با اسامي زير روي درايوها قرار دارند خودش را كپي مي كند:
vota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
ايميلي كه ارسال مي شود داراي مشخصات زير مي باشد:
موضوع به صورت تصادفي از موضوعات زير انتخاب مي شود:
morto
Sua saude esta bem?
pescaria por kilo
massas!
impressao!!
robos!
diga
agradou
متن پيغام به صورت تصادفي از موضوعات زير انتخاب مي شود:

me veja peladinha
gostaria disso e voce???
algo a mais
falea verdade!!!
ganhe muita grana
campanhadafome
pq nao me liga??
sinto voce!!
grana
Lembra?
amor me liga
Hackers do Brasil
Medical Labs Exames!!!
meu telefone liga
ferias nos E.U.A
Surto :(
Vacina contra o HIV!!
sua conta bancaria zerada
olha que isso!!!
parabens!
te amo!
Policia SP
Sua Conta!!
Boleto Pague
veja o que tem no zip e me liga
receitas de bolo!!
acrdito que em voce!!!
promocao de viajens de fim de ano
tudo sobre voce sabe
Proposta de emprego!!
estou doente veja!!!
me diz o queacha?
retorna logo isso!!
arquivo zipado PGP???
voce passou :D!!!
ve ai logo ta
AMA!
AmaVoce
Abra rapido isso!!!!
reza de sao tome!!!!.
veja detalhes!!!.
encontro voce!
preenche ai ta bom
PizzaVeneza!
فايل الحاقي :


AninhaPutinha +55operado6992292246
vaca
tetas
war3!
AIDS!
grana
banco!
revista
lulao!
imposto
jogo!
loterias
vips!
missao
vadias!
email
flipe
botao
sampa!!
contas!!
zerado
:(
criancas!
brasil!
lantrocidade
aqui
ocs
festa!!
LINUSTOR
bingos!
agua!
:D
sorteado!!
grana!!
dinheiro!!
carros!
voce
:-)
???
circular
پسوند ها تركيبي از TXT, DOC, RTF, HTM, PIF, COM, SCR and BAT خواهند بود.
كرم پس از اجرا پيغام زير را نمايش مي دهد:
"File Corrupted replace this!!"

كرم Forbot-AZ


Forbot-AZ كرمي است كه از طريق شبكه هاي share شده منتشر مي شود همچنين مانند يك در پشتي تروجان عمل مي كند كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و خودش را مانند برنامه كاربردي در پيش زمينه اجرا خواهد كرد.
اين كرم خودش را با نامي شبيه syshelped.exe در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم روي سيستم اجرا شود.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

همچنين مدخل هاي ديگري را در رجيستري ايجاد مي كند به شرح زير:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFTCORPORATIONS\

HKLM\SYSTEM\CurrentControlSet\Services\MicrosoftCo rporations
سرويسهايي كه كرم استفاده مي كند شامل درهاي پشتي زير مي باشد:
File transfer
Proxy servers
Distributed denial of service attacks
information harvesting (email addresses, account names and passwords)
توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \
MicrosoftUpdates = syshelped.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\
MicrosoftUpdates = syshelped.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد

مايكروسافت از امنيت سخن مي‌گويد

مترجم: مشورت

محصولات متعددي كه در اين هفته براي كاراتر كردن توزيع patch نرم‌افزاري ارايه شده‌اند، تنها بخشي از تلاش‌هاي كلي مايكروسافت براي بهبود امنيت سيستم‌ها هستند.

با وجود آن كه بسياري از ابتكارهاي امنيتي فعلي مايكروسافت، پيش پا افتاده و معمولي هستند، لازم است اين شركت سازنده‌ي نرم‌افزار برنامه‌هاي خود را به صورت واضح و روشني مطرح و ارايه كرده و از همكاري و كمك‌هاي شركا و مشتريان خود در تلاش‌هاي امنيتي نيز استفاده كند.

به علاوه‌ي كار بر روي توليد بيشتر محصولات امنيتي، بهبود آموزش‌هاي ايمني و توليد و آسان كردن مديريت patch، اين شركت در حال همكاري با سازندگان سخت‌افزار و شركت‌هاي امنيتي است.

اين شركت اعلام كرده كه در حال همكاري تيمي با شركت دل است تا ابزاري براي به روز ساختن سخت‌افزار و نرم‌افزار ارايه كند. همچنين بتايي عمومي نيز كه براي روزآمد ساختن خدمات ويندوز براي كمك به سرپرستان در خودكار كردن و كنترل روزآمدسازي‌هاي نرم‌افزار ارايه شده، از ديگر تلاش‌هاي اين شركت در زمينه‌ي امنيت است.

Scott Charney، متخصص Trustworthy Computing مايكروسافت گفته است: « ما به عنوان عضوي مهم و نفوذي در بخشي از آي‌تي، لازم است كه درباره‌ي آنچه در زمينه‌ي بهبود امنيت در حال انجام آن هستيم، گفت‌وگو كنيم.»

Charney امنيت را به عنوان تعهد و مسئوليتي براي خود توصيف كرده و گفته است كه هنگامي كه دولت اينترنت و كامپيوترها را به قلورو عمومي واگذار مي‌كند، نقش وي را نيز به عنوان يك پشتيبان واگذار كرده است. آنچه دولت انجام داده، واگذاري امنيت عمومي و ملي به بازار بوده است.

Charney گفته است كه هر يك از شركت‌ها، شركتي نرم‌افزاري هستند، چه خود از اين مطلب آگاهي داشته باشند و يا خير. وي درباره‌ي موقعيت امنيتي فعلي بسيار جدي است

اما جديدترين خبر

كرم ياسر عرفات راز مرگ او را افشاء مي كند

كرمي جديد كه مطالب عجيب و جالبي درباره مرگ ياسر عرفات مي گويد با استفاده از آسيب پذيري جديد مايكروسافت موسوم به آسيب پذيري Extended MetaFiles منتشر مي شود.

اين براي بار اول است كه كرمي از اين آسيب پذيري براي انتشار خود استفاده مي كند.

كرم Aler كه از طريق شبكه خودش را منتشر مي كند ابتدا به صورت يك ايميل اينترنتي با موضوع Latest News about Arafat! ظاهر مي شود .

اين ايميل داراي دو فايل الحاقي مي باشد كه اولي يك عكس معمولي و دومي يك فايل EMF مي باشد. وقتي فايل EMF باز مي شود ، با استفاده از آسيب پذيري مشهور و جديد مايكروسافت ، MS04-032 ، سيستم قرباني را آلوده مي كند. پس از آن كرم Aler با استفاده از Share هاي شبكه و ميزبانهاي داراي پسورد هاي ضعيف خود را در شبكه منتشر مي كند.

اين كرم داراي يك Proxy مي باشد كه با استفاده از آن مهاجمين مي توانند ترافيك شبكه خود را از طريق كامپيوترهاي آلوده منتقل كنند و همين امر باعث مي شود كه براي ارسال هرزنامه و يا حمله به سيستم هاي ديگر از طريق كامپيوتر آلوده مورد استفاده قرار گيرند.

بزرگترين تهديد امنيتي زمستان

گونه جديد كرم سابر منتشر شد


همشهري : نسخه جديدي از كرم ايميلي سابر روز جمعه در اروپا و آمريكا كشف شد.
شركت هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته كرم هاي متوسط قرار داده اند.
به گزارش system group متخصصان امنيت گفته اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه ايميل به پيام هاي انگليسي و آلماني زبان ارسال مي كند، يكي از جدي ترين تهديدهاي زمستان امسال به شمار مي رود.
ميكو هايپونن، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته ويروس هاي درجه دو قرار داده، گفته است: اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي ترين مواردي است كه پاييز امسال با آن مواجه گشته ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي رسد.
همانند ساير ويروس هاي Sober، اين نسخه جديد نيز از موتور SMTP خود براي ارسال كپي هايي از خود به آدرس هاي ايميلي كه بر روي كامپيوترهاي آلوده مي يابد، استفاده مي كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه هايي براي كاربران مورد استفاده قرار مي گيرند.
اين ويروس همچنين به گونه اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي كند، اما تحت عنوان «delivery failure» و يا «oh god» با اين اميد كه فردي ضميمه حاوي فايل zip را كه دربردارنده ويروس ياد شده است، بگشايد. شركت مكافي، اين گونه جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده است. اين كرم جديدترين نسخه Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم هايي تاثير مي گذارد كه ويندوزهاي XP، ،۲۰۰۰ ME، ۹۸ ، ،۹۵ NT و سرور ۲۰۰۳ را اجرا مي كنند.

كرم Wort-B

شرح: Wort-B از طريق آسيب پذيري LSASS منتشر مي شود همچنين اين كرم پس از آلوده كردن سيستم فايلي را از راه دور دانلود مي كند.

تروجان مدخل زير را در رجيستري ايجاد مي كند تا بتواند روي سيستم اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>

و يا مدخل زير را براي اين هدف ايجاد مي كند كه در هنگام خارج شدن از سيستم دوباره اجرا گردد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>
كرم آدرسهاي IP تصادفي راجستجو مي كند و در صورت آسيب پذير بودن به آنها نفوذ مي كند مي كند.
اصلاحييه مورد نظر براي آسيب پذيري كه كرم از آن استفاده مي كند در سايت Microsoft موجود مي باشد.



توصيه ها :
1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \WinLsass = <path to Trojan>

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\WinLsass = <path to Trojan>

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Forbot-BI


شرح: Forbot-BI در پشتي IRC و كرم شبكه مخصوص سيستم هاي ويندوزي مي باشد.

همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام systemproc.exe در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"
HKCSoftware\Microsoft\Windows\CurrentVersion\RunOn ce\Microsoftkeysd = "systemproc.exe

همچنين كرم برنامه اي را به نام "MicrosoftCorporations" ايجاد مي كند و آن را با نام "Microsoftkeysd" نمايش مي دهد.
با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:
flood a remote host (by either ping or HTTP)
start a SOCKS4 proxy server
start an HTTP server
start an FTP server
portscan randomly chosen IP addresses
execute arbitrary commands
steal information such as passwords and product keys
upload/download files

اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.

توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Microsoftkeysd = "systemproc.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoftkeysd = "systemproc.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Microsoftkeysd = "systemproc.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

یک هکر به رایانه‌های دانشگاه بروکلی کالیفرنیا حمله کرد

یک هکر با شکستن سیستم امنیتی کامپیوترهای دانشگاه بروکلی کالیفرنیا به نامها و شماره های امنیتی اجتماعی حدود یک میلیون و چهارصد هزار کالیفرنیایی دسترسی پیدا کرد.
به گزارش بخش خبر تراشه از رویترز، کارلوس راموس معاون بخش امنیت آژانس خدمات انسانی و بهداشتی دانشگاه کالیفرنیا اعلام کرد: "تحقیقات در این زمینه ادامه دارد و ما در حال حاضر هیچ ایده‌ای در مورد اطلاعات شخصی به سرقت رفته نداریم".
او ادامه داد: " آژانس‌های ایالتی و اف.بی.آی در حال بررسی این قضیه هستند اما تاکنون موفق به یافتن هکرها نشده‌اند."
شايان ذکر است اسم‌هایی که در دسترس هکر قرار گرفته است بوسیله مرکز تحقیقات UC Berkeley استفاده می‌شده است که شامل اطلاعات جمع‌آوری شده در مورد جمعیت سالخورده و اشخاصی بوده‌اند که در خانه تحت مراقبت قرار گرفته‌اند.

نويسنده MyDoom كمپاني هاي آنتي ويروس را تهدید کرد


كمپاني هاي آنتي ويروس از طغيان پيغامهايي كه داراي ويروسهايي هستند كه آنها را از طرف نويسندگان كرم MyDoom تهديد به حمله مي كند سرگشته و حیران شده اند.
بنابر خبر اختصاصی [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] از زد دی نت ، نويسندگان كرمها چهار كمپاني بزرگ آنتي ويروسF-Secure, Symantec, Trend Micro و McAfee را تهديد كرده اند. آنها در آخرين ورژن کرم MyDoom با نام MyDoom.AE پيغامهايي جاسازي كرده اند كه در ضمن به تمسخر گرفتن نويسنده كرم NetSky كمپاني هاي آنتي ويروس را تهديد به حمله مي كند.
Mikko Hypponen مدير شركت آنتي ويروس F-Secure گفت:در پيغامها نويسنده كرم NetSky مورد تمسخر قرار گرفته چون وي الان در زندان هست.نمونه اي از اين پيام را در زير مي خوانيد:
خوشبختم:
نويسنده ساسر شغل امنيتي IT به دست آورده است و ما مي خواهيم با كرمهاي Mydoom , P2P و كدهاي برجسته كار كنيم و همچنين قصد حمله به -secure,symantec,trendmicro,mcafee ,etc را داريم .يازدهم مارچ روز skynet هست. ( خنده هايي با صداي بلند) ها ها ها
وقتي كه beagle و mydoom رها شوند ما جلو فعاليت آنها را در Skynet ميگیریم.
Hypponen می گوید: كرم هنوز به شكل قابل توجه اي گسترده نشده است به دليل اينكه كاربران ايميلهاي محتوي كرم را باز نكرده اند.او اضافه كرد كه من بسيار متحير هستم كه چرا نويسندگان كرمها با پيشنهاد انعام و يا دستمزد 250,000 دلاري براي همكاري با مايكروسافت موافقت نكرده و دائما در حال ايجاد كرم و ويروسهاي جديد هستند.
درضمن: در چند روز گذشته مایکروسافت پيشنهاد انعام 250,000 دلاري را براي همكاري با كمپاني به نويسندگان كرم MyDoom داده بود كه با عدم پذيرش از طرف آنها روبرو شد.

كرم Forbot-BN

Forbot-BN يك كرم شبكه اي كه يك در پشتي IRC براي سيستم هاي ويندوزي مي باشد.

اين كرم با استفاده از آسيب پذيري معروف LSASS خودش را منتشر مي كند.

همراه با اجراي ويندوز كرم نيز به صورت خودكار اجرا مي شود و خودش را با نام RUNDLL.EXE در پوشه ويندوز كپي مي كند و مدخل هاي زير را در رجيستري اي جاد مي كند:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

همچنين كرم يك سرويسي به نام "Eatshit" ايجاد مي كند و آن را با نام "Win32 USB Driver". نمايش مي دهد.

توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

4-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Win32 USB Driver = rundll.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\Win32 USB Driver = rundll.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.



شرح اضافه :

با يك با اجرا كرم به يك سرور IRC متصل مي شود و به كانالي متصل مي شود كه در آن مهاجم امكان اين را دارد كه دستوراتي را به سيستم ارسال كندو اين دستورات مي توانند برنامه ها را آلوده كنند تا فعاليتهاي زير را انجام دهند:

start an FTP and HTTP server.
delete network shares.
start a SOCKS4, SOCKS5, [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] TCP and GRE proxy.
list and stop existing processes and services.
upload, download, run and delete files.
modify the registry.
add and delete services.
steal the product keys of popular games and applications.
scan other computers for open ports and attempt to exploit them.
take part in distributed denial of service (DDOS) attacks.
flush the DNS cache.
logoff, reboot and shut down the computer

اين كرم همچنين Share هاي ADMIN$ ، RPC$ و D$ و C$ را از سيستم حذف مي كند.

Forbot-BN همچنين قادر است كه سريال هاي بازي هاي زير را از سيستم به سرقت ببرد :

AOL Instant Messenger
Yahoo Pager
Microsoft Messenger Service
Microsoft Windows Product ID
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert 2
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Generals
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Hidden & Dangerous 2
Soldiers Of Anarchy
Soldier of Fortune II - Double Helix
Call of Duty
Neverwinter Nights

اين كرم همچنين قادر است سرويس RPC را دوباره راه اندازي كند :

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

اين كرم در سيستم هاي كه آسيب پذيري LSASS دارند منتشر مي شودو همه درهاي پشتي چپ را توسط تروجانهايي از خانواده Optix باز مي گذارد.

كرم Sluter-E


شرح : Sluter-E يك كرم شبكه اي با خاصيت تروجان در پشتي براي سيستم هاي ويندوزي مي باشد. اين كرم از طريق پويش شبكه و يافتن آسيب پذيريهاي معروف در شبكه خودش را منتشر مي كند.

در اولين اجرا كرم خودش را در شاخه سيستمي ويندوز به نام winsci32.exe كپي مي كند. و براي اينكه در شروع ويندوز كرم نيز اجرا گردد مدخل هاي زير را در رجيستري ايجاد مي كند.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

Sluter-E همچنين خودش را به عنوان يكي از سرويس هاي ويندوز نيز اجرا مي كند كه نام اين سرويس هم نام خود كرم مي باشد.

توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

اين كرم همچنين با يك كانال IRC ارتباط برقرار مي كند و ممكن از دستورات زير را از يك كاربر راه دور دريافت كند :

SOCKS4 proxy server
FTP server
send email
keylogger
take part in DDoS attacks (SYN, ICMP, Ping)
steal product registration keys
insert and send insulting text into open IM windows (AIM, Yahoo, MSN Messenger)
gather system information (filesystem, hardware, running processes)
open and close CDROM trays
download/upload files
execute arbitrary commands


همچنين Sluter-E پرسش هاي زير را از رجيستري انجام مي دهد تا مطمئن شود برخي بازيهاي رايانه اي در سيستم قرباني نصب شده اند و در صورت نصب بودن آنها شماره سريال هاي اين بازيها را براي نويسنده خود ارسال مي كند:


HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings

کشف حفره ای که باعث فریب خوردن آنتی ویروسها میشود


SetarehSorkh : شركت آمريكايي امنيتي iDEFENSE كشف كرد كه در بيشتر نرم افزارهاي آنتي ويروس روزنه هايي وجود دارد كه ويروسها اجازه میدهد به زيركي در قالب فايلهاي ZIP نوشته شوند.
پژوهشگران امنيتي كشف كردند كه اكثر برنامه هاي آنتي ويروس داراي آسيب پذيري هستند كه امكان ايجاد فايلهاي ويروسي را به هكرها مي دهد كه با بزرگترين آنتي ويروسها هم رديابي نمي شود.
اين مشكل در متد استفاده شده در نرم افزار آنتي ويروس در scan فايلهاي فشرده مي باشد و بر روي محصولات شركتهاي آنتي ويروسيMcAfee Computer Associates, Kaspersky, Sophos, Eset و RAV اثر مي گذارد.
بوسيله تغيير دادن اندازه , فايل بد بدون عامليت فايل محرك ,فشرده شده ونويسنده ويروس مي تواند آن را به كاربران فايل آلوده بفرستد كه با تعداد زيادي از برنامه هاي آنتي ويروس كشف نخواهد شد.
مهاجم حداكثر بار را فشرده كرده ودر اندازه فايل غيرفشرده در رد يابي نرم افزار آنتي ويروس درون local و global طفره مي اندازد و دوگانگي ايجاد مي كند.
اين آسيب پذيري به هكرها اين امكان را مي دهد تا حداكثر بار خودشان را بدون رديابي از داده هاي كاربران عبور بدهند.كاربران با آپديت كردن آنتي ويروسها راه را براي فايلها وضمائمي كه در اين آسيب پذيري نفش دارند باز مي كنند.
تایید شده است كه محصولات همه كمپاني هاي نامبرده به استثناء Sophos و RAV
تحت اين آسيب پذيري قرار گرفته اند وهیچ يك از آنها آپديتي براي كار گذاشتن بر روي اين مشكلات ارائه نداده اند.
iDEFENSE اعلام كرد كه فقط آخرين محصولات از Symantec, Bitdefender, Trend Micro و Panda در معرض اين آسيب پذيري نمي باشند.

ويروس Toraja-I


Toraja-I يك ماكرو ويروس مي باشد كه در سيستم هاي ويندوزي كه داراي Office 97 هستند منتشر مي شود.اين ويروس يك پوشه الوده را در مكان زير ايجاد مي كند تا مطمئن شود كه با اجراي Excel ويروس نيز اجرا خواهد شد:

C:\Program Files\Microsoft Office\Office\Xlstart\start25.xls

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :

اين ويروس به علت اينكه به تمامي فايل هاي اكسل كه بعد از آلوده شدن سيستم اجرا شده اند خودش را مي چسباند بنابر اين نياز است كه حتما براي پاك كردن آن از آنتي ويروسهاي به روز شده استفاده كرد.



كرم Rbot-NA


شرح: Rbot-NA كرمي است كه از طريق شبكه هاي share شده منتشر مي شود و داراي قابليتهاي در پشتي تروجان مي باشد كه به مهاجم اجازه مي دهد از طريق كانالهاي IRC به سيستم آلوده دسترسي داشته باشد و به صورت يك برنامه كاربردي در پس زمينه اجرا شود.

كرم Rbot-NA از طريق شبكه هاي share شده كه با پسورد ضعيف محافظت مي شوند منتشر مي شود و به منظور مورد حمله قرار دادن امنيت شبكه مانند يك تروجان در پشتي دستورات را از مهاجم دريافت مي كند.

اين كرم خودش را با نام TASKMSG.EXE در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيستري ايجاد مي كند تا كرم در زمان شروع ويندوز اجرا كردد.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

همچنين كرم مدخل هاي زيررا در رجيستري قرار مي دهد :

HKCU\Software\Microsoft\OLE

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1"

كرم ممكن است شبكه هاي share شده را از روي سيستم پاك كند و همچنين كليد هاي فشرده شده توسط كاربر را در يك فايل به نام KEY.TXT ثبت كند كه اين فايل در شاخه ويندوز ذخيره مي گردد.

توصيه ها :

1-به روز كردن آنتي ويروس

2-نصب اصلاحيه هاي مايكروسافت

3- دريافت Removal از سايت Kaspersky

4-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''Export Registry File'' و در پنل ''Export range'' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

گونه‌ي جديد كرم Sober منتشر شد

منبع : مشورت
نسخه‌ي جديدي از كرم ايميلي Sober روز جمعه در حالي كه به سرعت در حال لنتشار در اروپا و آمريكا بوده، كشف شده است. شركت‌هاي امنيتي، اين كرم را از لحاظ خطرناك بودن در دسته‌ي كرم‌هاي متوسط قرار داده‌اند.
متخصصان امنيت گفته‌اند كه كرم W32.Sober.i كه خود را به عنوان ضميمه‌ي ايميل به پيام‌هاي انگليسي و آلماني زبان ارسال مي‌دارد، يكي از جدي‌ترين تهديدهاي پاييز امسال به شمار مي‌رود.

Mikko Hypponen، مدير تحقيقات امنيتي شركت F-Secure كه اين ويروس را در دسته‌ي ويروس‌هاي درجه‌ي دو قرار داده، گفته است: « اين كرم يكي از بدترين مواردي است كه طي يك يا دو ماه گذشته مشاهده كرده‌ايم. به دلايلي، اين ماه به آرامي سپري شده است. اين كرم جديد يكي از جدي‌ترين مواردي است كه پاييز امسال با آن مواجه گشته‌ايم، اما در مقايسه با همين فصل در سال گذشته و نيز اوايل امسال، اين مورد آنچنان هم بد به نظر نمي‌رسد.»

همانند ساير ويروس‌هاي Sober، اين نسخه‌ي جديد نيز از موتور SMTP خود براي ارسال كپي‌هايي از خود به آدرس‌هاي ايميلي كه بر روي كامپيوترهاي آلوده مي‌يابد، استفاده مي‌كند. سپس كامپيوترهاي آلوده، به عنوان كانالي براي دانلود كردن برنامه‌هايي براي كاربران مورد استفاده قرار مي‌گيرند.

ويروس Sober.i، ارايه دهنده‌ي attachment اي بوده كه ادعا مي‌كند حاوي تصاوير مبتذلي از دختري بيست و يك ساله است و سپس به سرعت در سراسر اينترنت توزيع و پخش مي‌گردد. اين ويروس طوري برنامه ريزي شده كه خود را تنها به domain هاي آلماني زبان ارسال مي‌كند. مانند آن‌هايي كه به .de (آلمان) و يا .ch (سوييس) ختم مي‌گردند.

اين ويروس همچنين به گونه‌اي برنامه ريزي شده كه خود را در دنياي انگليسي زبان نيز توزيع و پخش مي‌كند، اما تحت عنوان "delivery failure" و يا "oh god"، با اين اميد كه فردي ضميمه‌ي حاوي فايل .zip را كه در بر دارنده‌ي ويروس ياد شده است، بگشايد.

Graham Cluley، مشاور فني عالي رتبه‌ي شركا امنيتي Sophos گفته است: « نسخه‌ي آلماني اين ويروس بسيار جالب است. اين نسخه نشانگر آن است كه ايميل از سوي دختري بيست و يك ساله و به همراه عكس‌هاي مبتذلي از وي ارسال شده كه به دنبال يافتن شغلي براي خود است، اما تصاوير در واقع همان كرم جديد هستند.

شركت مكافي، اين گونه‌ي جديد Sober را، Sober.j و F-Secure آن را Sober.i ناميده‌اند. اين كرم جديدترين نسخه‌ي Sober بوده كه نخستين بار در اكتبر سال گذشته پديدار گشته است. Sober.i، بر روي سيستم‌هايي تاثير مي‌گذارد كه ويندوزهاي XP، 2000، ME، 98، 95، NT و سرور 2003 را اجرا مي‌كنند.


هشدار جدی بانک مرکزی در مورد کلاهبرداری از کارت های عابربانک



بانك مركزى در اطلاعيه‌اى به مشتريان و دارندگان كارت‌ بانك‌ها هشدار داد كه از ارائه اطلاعات محرمانه مربوط به كارت بانك خود و درج در وب‌سايت‌ها پرهيز كنند كه زيرا مسووليت سوءاستفاده احتمالى از اطلاعات حساب و وقوع كلاهبردارى به عهده دارنده كارت خواهد بود.

به گزارش روابط عمومى بانك مركزى اخيرا مشاهده شده است كه كلاهبرداران اينترنتى با بهره‌گيرى از روش‌هاى معمول جعل و سوء استفاده در اينترنت با راه‌اندازى وب‌سايت‌هايى با آدرس‌هاى مانوس و غلط‌انداز نظير [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] و نظاير آنها مدعى شده‌اند كه تحت سرپرستى بانك مركزى جمهورى اسامى ايران و با همكارى بانك‌هاى تجارى عمده مبادرت به راه‌اندازى امكانات مربوط به خريد و فروش اينترنتى كرده‌اند و ضمن آن محلى را براى درج شماره كارت و گذرواژه (كلمه عبور) كارت‌ بانك‌هاى اعضا تعبيه كرده و از بازديد‌كننده مى‌خواهند كه با ورود اطلاعات كار بانك خود از امكانات مربوط به پرداخت‌هاى اينترنتى بهره‌مند شوند.

بدين‌وسيله به كليه مشتريان و دارندگان كارت‌ بانك‌ها در سراسر كشور هشدار داده مى‌شود كه از ارائه اطلاعات محرمانه مربوط به كارت بانك خود شامل شماره كارت، شماره حساب و گذرواژه و درج آنها در صفحه وب‌سايت‌ها ـ حتى به منظور كنجكاوى ـ اكيدا پرهيز كرده و اين موارد را به هيچ عنوان در اختيار هيچ وب‌سايتى قرار ندهند در غير اين صورت مسووليت سوء استفاده احتمالى از اطلاعات حساب و وقوع كلاهبردارى به عهده دارنده كارت خواهد بود.

همچنين به اين وسيله اعلام مى‌شود كه بانك مركزى جمهورى اسلامى ايران تا اين تاريخ هيچ‌گونه مجوزى تحت هيچ عنوان براى انجام امور مربوط به خريد و فروش اينترنتى صادر نكرده و هيچ‌گونه امكاناتى را به منظور پرداخت اينترنتى از طريق ”شتاب” راه‌اندازى نكرده است و در صورت معرفى اين امكان، وب‌سايت‌هاى معتبر براى انجام پرداخت و درج اطلاعات كارت بانك تنها از طريق وب‌سايت رسمى بانك مركزى جمهورى اسلامى ايران واقع در آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] به اطلاع عمومى خواهد رسيد.

بر اين اساس مجددا تاكيد مؤكد مى‌شود كه تا اطلاع ثانوى از هرگونه مراجعه يا درج اطلاعات حساب يا كارت خود در وب‌سايت‌هاى متفرقه و ناشناس كه عمدتا داراى آدرس‌هاى به ظاهر معتبر و مانوس هستند، خوددارى كنند تا از عواقب ناگوار آن پرهيز شود. بديهى است اين بانك اقدامات لازم را در حد امكانات فناورى به منظور تعقيب قانونى و مسدود كردن وب‌سايت‌هاى مزبور به عمل خواهد آورد.

ماهان جان دستت درد نكنه ولي فكر كنم اين خبر آخر رو توي يه تاپيك جدا مي‌ذاشتي. (ترجيحا با اولويت خبر) چون خيلي مهمه. ممكنه همه اينجا اونو نبينن.
البته مي‌بخشي‌ها!

كرم Ovbious-A


Ovbious-A جزء آن دسته از كرمهايي است كه توسط پيغامهاي اينترنتي منتشر مي شود.كرم سعي مي كند خودش را مانند يك فايل الحاقي به آدرسهاي ايميلي كه در كتاب آدرسهاي outlook ليست شده است مي فرستد. پيغامها از "msupport" ارسال مي شوندو به صورت واقعي جلوه مي كنند با موضوع "Microsoft Critical Update" و متن پيغام زير :

"Dear Windows User
Our Windows watch server has detected that you have not got full protection
against viruses and spyware. Open the attachment to recieve the update manager."

كرم Ovbious-A خودش را در مكانهاي مختلف كپي مي كند و فايلي را دانلود مي كند كه رمز منبع را از ويروسي از خانواده Melissa درخواست مي كند.همچنين فايلي را كه RudeCDTray ناميده مي شود را دانلود كرده و به نام C:\joke.exe ذخيره كرده و آن را اجرا مي كند .

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.1 = C:\winnt\updtmgr.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.2 = C:\windows\updtmgr.vbs

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد.
به نظر مي رسد كه به علت فايل هاي زيادي كه اين ويروس كپي مي كند بهتر است از يك آنتي ويروس براي پاك كردن آن استفاده كنيد.

شرح اضافه :
كرم سعي مي كند فايل هاي زير را پاك كند:

ICMON.exe
ICNTMON.exe

كرم فايل هاي قبلي را در درايو سخت در مكان هاي جديدي كپي مي كند پس از يك زمان كوتاه كرم كاربر خارجي را ثبت مي كند.
كرم خودش را در مكانهاي زير كپي مي كند:

C:\FHE.exe
C:\winnt\system32\Ginger.exe
C:\winnt\system32\Live ---.exe
C:\winnt\system32\Free ----.exe
C:\windows\system32\Ginger.exe
C:\windows\system32\Live ---.exe
C:\windows\system32\Free ----.exe
C:\Winnt\updtmgr.vbs
C:\Windows\updtmgr.vbs
C:\WinfileDAT.vbs
D:\WinfileDAT.vbs
E:\WinfileDAT.vbs
F:\WinfileDAT.vbs
G:\WinfileDAT.vbs
H:\WinfileDAT.vbs
Z:\WinfileDAT.vbs
Y:\WinfileDAT.vbs
U:\WinfileDAT.vbs
C:\winnt\Jilhu.exe
C:\windows\Jilhu.exe
\Anti-Virus Enhancements.exe
\Shark.jpeg
C:\Winnt\FHEGERM\1.vbs
C:\Windows\FHEGERM\1.vbs
C:\Winnt\FHEGERM\2.vbs
C:\Windows\FHEGERM\2.vbs
C:\Winnt\FHEGERM\3.vbs
C:\Windows\FHEGERM\3.vbs
C:\Winnt\FHEGERM\4.vbs
C:\Windows\FHEGERM\4.vbs
C:\Winnt\FHEGERM\5.vbs
C:\Windows\FHEGERM\5.vbs
C:\Winnt\FHEGERM\6.vbs
C:\Windows\FHEGERM\6.vbs
C:\Winnt\FHEGERM\7.vbs
C:\Windows\FHEGERM\7.vbs
C:\Winnt\FHEGERM\8.vbs
C:\Windows\FHEGERM\8.vbs

كرم Ovbious-A مدخل هاي زير را به رجيستري اضافه مي كند تا كرم با اجراي ويندوز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.1 = C:\winnt\updtmgr.vbs

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
Updatemgrfhe.2 = C:\windows\updtmgr.vbs

همچنين ممكن است مدخل هاي زير را به رجيستري اضافه كند:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\
RegisteredOwner = VBS/FHE.Worm Creator

HKCU\Software\Vbs.FHE\
Sent to ther machines = 1

HKLM\Software\
ComputerLoggedOff = "Logged off"

كرم سعي مي كند فايلي را از C:\documents and settings\melissa.txt دانلود كند.

كرم ممكن است به wm97.melissa.vbs تغيير نام دهد.

Ovbious-A پوشه C:\DRVBACKUP را ايجاد كرده و پوشه هاي زير را در آن كپي مي كند:

C:\program files
C:\documents and settings

كرم آموزش مي بيند كه پوشه C:\DRVBACKUP را در مكانهاي زير كپي كند:

C:\winnt\DRVBackup2
C:\winnt\DRVBackup3
C:\windows\DRVBackup2
C:\windows\DRVBackup3

كرم Spybot-DF


شرح :

Spybot-DF يك كرم در پشتي IRC مي باشد كه به يك سرور IRC در دوردست متصل مي شود و در پيش زمينه مانند يكي از سرويس هاي ويندوز اجرا مي شود و به انتظار دريافت دستورات از فرستنده مي ماند.

كرم ممكن است در share هاي شبكه كه با پسورد ضعيف محافظت مي شوند. يا توسط شبكه هاي peer- to- peer منتشر شود. بدين صورت كه خودش را به DOWNLOAD_ME.EXE در پوشه <system>\kazaabackupfiles كپي مي كند و مدخل زير را در رجيستري فرار مي دهد تا به اين مسير اشاره كند:

HKCU\Software\Kazaa\LocalContent\Dir0

پس از اين كه كرم بار اول روي سيستم اجرا شد خودش را با نام WINDOWSUPDATER.EXE در پوشه ويندوز ذخيره مي كند و مدخلهاي زير را به رجيستري اضافه مي كند تا به صورت اتوماتيك در هنگام شروع ويندوز اجرا گردد:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\

تا وقتي كه كرم فعال باشد برنامه هايي متنوعي كه در سيستم وظيفه ديده باني دارند را پايان مي دهد.
همچنين كرم كليد هايي را كه فشرده مي شوند را ثبت مي كند و يا آنها را در فايلي ذخيره مي كند يا آنها را به يك سرور IRC در دوردست ارسال مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و تمامي فايل هايي كه در بالا اشاره شده است را از سيستم خود پاك كنيد و در آخر دوباره سيستم خود را راه اندازي كنيد.

كرم Myfip-D

Myfip-D كرمي است از خانواده كرم هاي Myfip كه توسط شبكه هاي share شده منتشر مي شود كه با بدون پسورد هستند يا توسط پسورد هاي ضعيف محافظت مي شوند.
كرم خودش را با نام kernel32dll.exe در پوشه ويندوز ذخيره مي كند .كپي هايي كه روي شبكه هاي share شده هستند worm.txt.exe يا dfsvc.exe ناميده مي شوند.
همچنين كرم ممكن است فايل هايي را با نامهاي temp.exe يا temp.txt ايجاد كند.
Myfip-D خودش را مانند يك سرويس هاي ويندوز با servername يا displayname "Distributed Link Tracking Extensions". ثبت مي كند.
Myfip-D مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Distributed File System = "kernel32dll.exe"

كرم ليستي از نام فايل ها مي سازد كه اسم هاي زير را دارا مي باشد:

Winnt
Windows
I386
Program Files
All Users
Recycler
System Volume Information
Inetpub
Documents and Settings
Wutemp
My Music

سپس كرم محتويات اين فايل ها را به كاربري در دور دست مي فرستد.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
Distributed File System = "kernel32dll.exe"

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

اما براي دوستداران اس پي 2

نقص هشدار دانلود IE در SP2



همکاران : مايكروسافت اعلام كرده است كه عمليات و اقدام مناسبي را براي برطرف كردن مشكل موجود در Internet Explorer و سرويس پك دو ويندوز XP انجام خواهد داد. اين نقص به وب سايت‌هاي مخرب امكان مي‌دهد تا هشدارهاي مرورگر را هنگام دانلود كردن برنامه‌هاي مخرب، ناديده انگارد و توجهي به آن‌ها نكند.

اين مشكل، نخستين بار در تاريخ پانزدهم نوامبر و توسط شركت امنيتي Finjan به مايكروسافت گزارش شده است. در آن زمان، مايكروسافت اعلام كرد كه توصيه‌هاي ايمني Finjan، گمراه كننده بوده است. پس از آن، وب سايت فرانسوي K-otik، كدهاي مخربي را كه مي‌توانستند از آسيب پذيري ياد شده سو استفاده كنند، منتشر كرده است.

يكي از سخنگويان مايكروسافت گفته است كه اين شركت همچنان عقيده دارد كه ادعاهاي شركت Finjan گمراه كننده بوده، زيرا پيش از آن كه هرگونه كد مخربي امكان اجرا شدن را بيابد، مي‌بايد تعامل كاربران و مراحل اجراي رابط كاربر به ميزان بسياري صورت گيرد.

در هر حال، اين شركت بزرگ نرم‌افزاري، اين امر را تصديق كرده است كه حتي امكان استفاده از ويندوز XP به همراه سرويس پك دو، امكان ناديده گرفته شدن هشدارهاي امنيتي در Internet Explorer وجود داشته است.

سخنگوي اين شركت گفته است: « مايكروسافت در حال بررسي روش ناديده گرفته شدن (bypass) اخطار و هشدارهاي دانلود در مرورگر Internet Explorer بوده و اقدام مناسبي را جهت برطرف ساختن اين مشكل، در پيش خواهند گرفت تا به شيوه‌ي مناسبي به كاربران توصيه شود كه برنامه‌هاي قابل دانلود از اينترنت، ممكن است خطرناك و مخرب باشند.»

اين سخنگو خاطر نشان كرده است كه چنانچه فايل دانلود شده، بر روي فولدر Startup ذخيره گردد، زماني كه كاربران كامپيوترهاي خود را restart كنند، به صورت خودكار به اجرا در خواهد آمد.

وي در ادامه افزوده است: « چنانچه حمله كنندگان تلاش كنند كه كد مخرب قابل اجرا را در فولدر Windows Startup كاربر ذخيره كنند، كاربران بايد به فولدري كه كد مخرب قابل اجرا در آن ذخيره شده، وارد گشته و آن را اجرا كنند و يا log-off كرده و مجدداً وارد سيستم كامپيوتر خود گردند.»

در هر صورت، سخنگوي مايكروسافت گفته است كه اين مشكل، يك آسيب پذيري امنيتي نبوده، اما استفاده‌اي هوشمندانه و زيركانه از مهندسي اجتماعي است. وي گفته است: « مهم است توجه داشته باشيم كه اين مشكل، سو استفاده از يك آسيب پذيري امنيتي نيست، اما تلاشي است توسط حمله كنندگان براي استفاده از مهندسي اجتماعي، تا بدين طريق كاربران را متقاعد سازند كه فايل مخرب و قابل اجرا را بدون دريافت هشدار دانلود مرورگر Internet Explorer، بر روي ديسك سخت كامپيوتر خود ذخيره كنند.»

اینم برای دوستداران وینمپ

پيدا شدن حفره‌ي امنيتي خطرناك ديگري در WinAmp


مشورت :Security-Assessment.com جزئيات يك حفره‌ي امنيتي را منتشر كرده‌اند كه به حمله كنندگان امكان مي‌دهد زماني كه كاربري، صفحه‌ي وب به خصوصي را مشاهده مي‌كند، كنترل PC وي را در اختيار گيرند.

اين باگ جديد كه خطايي مرزي در فايل IN_CDDA.dll بوده، جديدترين آسيب پذيري جدي در WinAmp است كه شامل نقصي است كه در ماه آگوست ايجاد شده و كنترل فايل‌هايي را به دست مي‌گرفته كه هكرها پيش از آن كه محققان به وجود آن پي ببرند، شروع به سو استفاده از آن كرده بودند.

اين باگ جديد، نقص موجود در فايل‌هاي بدون پوشش و نقص منتشر شده در ماه آوريل براي در اختيار گرفتن كنترل فايل‌هاي .xm، همگي مي‌توانستند با فريفتن كاربران آلوده و ترغيب و هدايت آنان به سوي وب سايت در بردارنده‌ي فايل ويژه‌اي، از كامپيوترهاي آن‌ها براي برنامه‌هاي مخرب خود سو استفاده كنند كه سپس به صورت خودكار دانلود و اجرا مي‌شده‌اند.

باگ منتشر شده در اين هفته، مي‌تواند به شيوه‌هاي گوناگوني اجرا گردد كه خطرناك‌ترين آن‌ها از طريق فايل فهرست موزيك‌هاي .m3u است.

اين فايل‌ها هنگامي كه بر روي وب سايت ميزبان شوند، به صورت خودكار دانلود شده و بدون هيچگونه تعامل و عمليات كاربر، بر روي WinAmp باز مي‌شوند. همين امر كافي است تا موجب ايجاد سرريزي گردد كه به فهرست موزيك مخرب امكان مي‌دهد كد مخرب مورد دلخواه و انتخاب خود را اجرا كند.

Nullsoft، بخشي از شركت آمريكا آنلاين، باگ موجود در نسخه‌ي 5.06 WinAmp را با patch اي كه از طريق وب سايت شركت در دسترس است، برطرف كرده‌اند. شركت Secunia كه از يك پايگاه داده‌ي آسيب پذيري‌ها پشتيباني و حفاظت مي‌كند، گفته است كه اين باگ از نظر ميزان خطرناك بودن، در درجه‌ي بالا و بسيار خطرناكي قرار گرفته است.

آسيب پذيري ماه آگوست WinAmp، خطرناك‌ترين آسيب پذيري امسال بوده است، زيرا پيش از آن كه patch اي براي آن ارايه گردد، مورد بهره برداري و سو استفاده‌ي باگ‌ها و هكرها واقع شده است.

اين باگ، نسخه‌ي 5.04 را كه تنها يك ماه از زمان انتشار آن مي‌گذرد، آلوده كرده است.
بازگشت

پس ميبينيم كه كارهاي مايكروسافت مشكل ندارند بلكه كارهاي همه مشكل دارند و مايكروسافتم به علت داشتن محصولاتي كه بيشتر مورد مصرف قرار ميگيرد تمامي مشكلات را پيدا ميكند و توسري ميخورد.

هر که بامش بیش حرفش بیشتر
آره
:mrgreen:

آره ديگه مثل شما كاملا درسته اما اينم هست كه مايكروسافت يك كمي نامرد هم هست :mrgreen:

كرم موجود در Mac، نگراني‌هاي امنيتي را بر مي‌انگزيد

منبع : مشورت
متخصصان ضد ويروس به كاربران Mac و سرپرستان سيستم هشدار داده‌اند كه پس از كشف كرمي كه سيستم عامل Mac OS X را مورد هدف و حمله قرار مي‌دهد، نبايد درباره‌ي امنيت آسوده خاطر بود.
پلت‌فرم Mac در مقابل تهديدهاي امنيتي ايمن نبوده و از آن جايي كه داراي آسيب پذيري‌هاي بسياري است (كه همگي از مولفه‌هاي يونيكس ناشي مي‌شوند)، به سرعت آلوده به هزاران ويروس مي‌گردد. در هر صورت، بنا بر گفته‌ي متخصصان امنيت، كرم‌ها از اواخر دهه‌ي هشتاد، بر روي Mac وجود داشته، اما به صورت ناشناخته بوده‌اند.
ظاهر كرم Opener و يا Renepo ممكن است نشانه‌اي از آن باشد كه نويسندگان كرم دوباره متوجه پلت‌فرم Mac شده و به آن علاقه‌مند مي‌گردند، زيرا بر طبق اظهارات متخصصان، هم‌اكنون نوشتن و توليد كدهاي مخربي كه بر روي Mac اجرا مي‌شوند، به آساني ديگر گونه‌هاي يونيكس است.
Paul Ducklin، رييس تكنولوژي شركت ضد ويروس Sophos گفته است: « خوشبختانه، وجود كرم Renepo، هشداري براي كاربران Mac خواهد بود كه هنوز تصور مي‌كنند به اين دليل كه افراد بدخواه توجه و علاقه‌اي به پلت‌فرم Mac ندارند، آن‌ها در مقابل خطرات و تهديدها ايمن هستند.»
اين كرم جديد كه شركت Sophos آن را SH/Renepo، Symantec آن را MacOS.Renepo.B مكافي آن را Unix/Opener.Worm ناميده‌اند، روز جمعه (22 اكتبر) كشف شده و تامين كنندگان ضد ويروس، مراقبت‌ها و حفاظت‌هاي را طي تعطيلات آخر هفته انجام داده‌اند.
اين كرم جديد به صورت يك قفسه‌ي Bash درآمده و سپس خود را در شبكه‌ي محلي كپي و منتشر مي‌سازد. از آن جايي كه اين كرم براي توزيع نسخه‌ها و كپي‌هاي خود از ايميل و برنامه‌هاي مربوط به تبادل فايل استفاده نمي‌كند، قابليت آن محدود است.
اين كرم جديد همچنين نيازمند سطحي بالا از دسترسي به كامپيوترهاست تا بتواند آن‌ها را آلوده سازد. با وجود اين محدوديت‌ها، اين كرم همچنان مخرب است و به اين دليل كه موجب از كار افتادن logging و نرم‌افزارهاي امنيتي و ضدويروس مي‌شود، گفتن اين مطلب كه آيا سيستم‌ها توسط مشكلات ديگري آلوده شده‌اند و يا خير، كاري دشوار است. اين كرم جديد، داده‌هاي حساس و مهمي مانند رمزهاي عبور را جمع آوري كرده و سپس گزارشي از سيستم‌هاي آلوده به سرورهاي راه دور ارسال مي‌كند.
به علاوه اين كرم، از تبادل فايل‌ها استفاده كرده، برنامه‌هاي كشف كننده و باز كننده‌ي رمزهاي عبور را نصب مي‌كند و كلمات عبور ويندوز را جمع آوري مي‌كند. سپس يك account جديد ايجاد كرده تا حمله كنندگان بتوانند در آينده از آن استفاده كنند.
شركت Apple Computer به تازگي براي قوت بخشيدن به حفره‌هاي امنيتي Mac OS X و نيز نشان دادن اين مطلب كه كاربران Mac از كاربران پلت‌فرم‌هاي ديگر ايمن‌تر هستند، تحت حمله قرار گرفته است.

كرم Bagz-D


Bagz-D يك كرم شبكه اي است كه از طريق پيغامهاي اينترنتي منتشر مي شود كه داراي يك در پشتي است كه به يك مهاجم اجازه ورود مي دهد تا تركيبات ديكري را دانلود و اجرا كند.

كرم سعي مي كند آدرسهاي ايميل را از فايل هايTXT, HTM, DBX, TBI و TBB جمع آوري كند و از يكي از آنها براي فرستادن ايميل استفاده كند.

ايميلي كه اترسال مي شود داراي مشخصات زير مي باشد:

موضوع:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل الحاقي به صورت فايل zip :

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل الحاقي با فرمت EXE :

backup.doc (spaces) .exe
admin.doc (spaces) .exe
archivator.doc (spaces) .exe
about.doc (spaces) .exe
readme.doc (spaces) .exe
help.doc (spaces) .exe
photos.doc (spaces) .exe
payment.doc (spaces) .exe
archives.doc (spaces) .exe
manual.doc (spaces) .exe
inbox.doc (spaces) .exe
outbox.doc (spaces) .exe
save.doc (spaces) .exe
rar.doc (spaces) .exe
zip.doc (spaces) .exe
ataches.doc (spaces) .exe
documentation.doc (spaces) .exe
docs.doc (spaces) .exe
sysboot.doc (spaces) .exe

كرم يك كپي از فايلهايي را كه ارسال مي كند در پوشه ويندوز قرار مي دهد.و همچنين تركيبات زير را در پوشه ها قرار مي دهد:

run32.exe

rpc32.exe
ipdb.dll
wdate.dll
jobdb.dll

Bagz-D خودش را مانند يك سرور ويندوز با نام RPC32 روي سيستم نصب مي كند.

كرم Bagz-D فايل %system32%/drivers/etc/hosts را تغيير مي دهد تا سيستم نتواند به سايت هايي كه فروشنده آنتي ويروس هستند دسترسي داشته باشد.



توصيه ها :

1-به روز كردن آنتي ويروس
2-نصب اصلاحيه هاي مايكروسافت
3- دريافت Removal از سايت Kaspersky
4-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

آقا ماهان خودتم قبول داري كه اين تاپيك خيلي مورد توجه نيست؟؟؟

آخه تو اين جهان تا يكي به مشكلي بر نخورده كه دنبالش نميره

مهم نیست که خیلی مورد توجه هست یا نه
این مهمه که اگه یه نفر یه مشکل بر خورد شاید با مراجعه به اینجا مشکلش بر طرف بشه
ولی این یه ایراده که ما تا دچار مشکل نشیم به فکر چاره نمی افتیم


كرم Forbot-BR


Forbot-BR كرم شبكه و تروجان درپشتي IRC مي باشد كه در سيستم هاي ويندوزي منتشر مي شود.پس از اولين اجرا كرم خودش را با نام windows.exe در پوشه ويندوز ذخيره مي كند.

كرم مدخل هاي زير را در رجيستري ايجاد مي كند تا بتواند با اجراي ويندوز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

در پشتي به يك كانال IRC متصل مي شود و در انتظار در يافت دستورات از مهاجم مي ماند. تروجان در زمينه هاي زير آموزش مي بيند:

ايجاد حمله هاي DDOS

دزديدن اطلاعات ثبت شده.

جستجو كردن سيستم هاي ديگر براي يافتن آسيب پذيري.

جمع اوري اطلاعات از فايل هاي موجود در ديسك سخت.

فعاليت مانند يك سرور(FTP, [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] SOCKS4 ).



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \NDIS Adapter = windows.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once\NDIS Adapter = windows.exe



هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.


كرم Rbot-NG


Rbot-NG كرمي است كه از طريق شبكه هاي share شده منتشر مي شود.اين كرم مانند يك در پشتي تروجان عمل مي كند و به مهاجم اجازه مي دهد از طريق كانالهاي IRC به كامپيوتر آلوده دسترسي داشته باشد تا به صورت يك سرور ويندوز روي پيش زمينه اجرا شود.

كرم Rbot-NG از طريق شبكه هاي share شده اي كه داراي پسورد ضعيف هستند منتشر مي شود و مانند يك تروجان در پشتي منتظر دريافت دستورات از كاربر راه دور مي ماند.

كرم خودش را با نام NETSIS.EXE در پوشه ويندوز ذخيره مي كند و مدخل هاي زير را در رجيسترسي ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Networks Controler = Netsis.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe



توصيه ها :

1-به روز كردن آنتي ويروس

2- دريافت Removal از سايت Kaspersky

3-روش پاك سازي به صورت دستي :

ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''Export Registry File'''' و در پنل ''''Export range'''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي



HKLM\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\Networks Controler = Netsis.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Networks Controler = Netsis.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد. سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

McAfee و محصولات جدید

امسال McAfee 7 نوع محصول جدید را برای مقابله با ویروس، ایجاد Firewall ، مقابله با هرزنامه‌ها و Spy ware ها و غیره به بازار عرضه می‌کند.
شرکت McAfee که در زمینه ساخت محصولات امنیتی و ضد ویروس فعال است اعلام کرد که به زودی محصولات جدید خود برای سال 2005 میلادی را عرضه خواهد کرد.
برطبق اعلام مقامات این شرکت محصولات ضدویروس جدید آن قابلیت مقابله با انواع حملاتی را خواهند داشت که با هدف سرقت هویت اشخاص، جاسوسی در کامپیوترهای افراد و نیز سرقت اطلاعات محرمانه آنان طراحی می‌شود. این محصولات همچنین می‌توانند نامه‌‌های الکترونیکی را که حاوی لینک‌های خطرناک و معیوب هستند شناسایی کند.
گفتنی است که امسال McAfee 7 نوع محصول جدید را برای مقابله با ویروس، ایجاد Firewall ، مقابله با هرزنامه‌ها و Spy ware ها و غیره به بازار عرضه می‌کند .

AOL 9.0 به همراه نرم‌افزار ضد ويروس ارايه مي‌شود

منبع: مشورت
شركت آمريكا آنلاين، با عنوان اين مطلب كه نيازي فوري به پشتيباني از كاربران خود در مقابل تهديدها و خطرات آنلاين دارد، بسته بندي نرم‌افزار ضد ويروسي را كه متعلق به شركت مكافي است به همراه جديدترين نسخه‌ي نرم‌افزار آن، AOL 9.0، آغاز خواهد كرد.

اين شركت، VirusScan شركت مكافي را به صورت آنلاين و بدون هيچ گونه هزينه‌هاي اضافي براي dial-up مشتريان آمريكا آنلاين، در دسترس قرار خواهد داد و سرويس‌هايي كه داراي هزينه‌هاي اضافي براي پشتيباني ضد ويروس هستند، حذف خواهد كرد.

اين نرم‌افزار به اعضاي شركت آمريكا آنلاين امكان مي‌دهد تا از account هاي AOL خود پشتيباني و حفاظت كرده و ديسك‌هاي سخت كامپيوترهاي خود را از لحاظ وجود ويروس‌ها بررسي كنند و نيز فايل‌هاي آلوده را قرنطينه و آلودگي آن‌ها را بر طرف سازند.

مشترياني كه با ويرايش امنيتي AOL 9.0 روزآمد شده‌اند، قادر خواهند بود VirusScan را پس از تكميل به روز رساني AOL، download و فعال سازند. اعضاي AOL كه از ويرايش‌هاي قديمي‌تر نرم‌افزار 9.0 استفاده مي‌كنند، مي‌بايد نرم‌افزار ياد شده را به صورتي جداگانه از طريق وب سايت شركت آمريكا آنلاين، download كنند.

آمريكا آنلاين، از آوريل سال 2003، در حال ارايه‌ي VirusScan به عنوان سرويسي افتخاري براي كاربران نرم‌افزار AOL 7.0 و 8.0 است. هزينه‌ي اين سرويس سابقاً 2.95 دلار (1.60 پوند) در هر ماه بوده است. اين هزينه، به دليل اندك بودن، مشتريان را قادر به استفاده از VirusScan و نرم‌افزارهاي دوره‌اي و نيز روزآمد سازي‌هاي ويروس‌ها مي‌سازد.

مشترياني كه به فهرست استفاده كنندگان از پشتيباني ضد ويروس ملحق شده‌اند، به طور مداوم از خدمات بهره‌مند خواهند شد، اما هزينه‌اي بابت اين خدمات پرداخت نمي‌كنند.

علاوه بر پشتيباني ضد ويروس desktop، شركت آمريكا آنلاين، فايل‌هاي ضميمه‌ي ورودي و خروجي ايميل‌ها را نيز بررسي و كنترل مي‌كند. AOL، به امنيت آنلاين علاقه و توجه نشان داده و در حال بهبود امنيت به عنوان مزيتي كليدي و اصلي در عضويت AOL است.

در ماه سپتامبر، RSA Security و آمريكا آنلاين، سرويس جديدي را با عنوان كد عبور AOL (AOL PassCode) ارايه كرده كرده‌اند كه به مشتريان شركت آمريكا آنلاين امكان مي‌دهد از رمزهاي عبور ايمن و مطمئن براي پشتيباني و حفاظت از اطلاعات account خود استفاده كنند.
اين شركت در نتايج حاصل از تحقيق و مطالعه‌اي كه با همكاري National Cyber Security Alliance انجام داده، اعلام كرده است كه 20 درصد از كامپيوترهاي خانگي توسط ويروس‌ها و كرم‌ها آلوده شده و بر روي 80 درصد از سيستم‌ها، نرم‌افزار جاسوسي وجود داشته‌اند.

اين بررسي درباره‌ي كامپيوترهاي خانگي و مالكان آن‌ها همچنين نشانگر اختلاف بسيار زياد ميان تهديدها و خطرات اينترنتي و درك كاربران از وجود آن‌هاست. اين نتيجه از آن جايي ناشي مي‌شود كه دو سوم از كاربران كمپيوترهاي خانگي گفته‌اند كه تصور آنان بر اين بوده كه در مقابل خطرات آنلاين ايمن هستند.
ويرايش امنيتي AOL 9.0 در ماه نوامبر به بازار عرضه خواهد شد.

اي ول
تاپيكت خيلي باحاله.همينجوري ادامه بده.
ارادتمند.

جسد جان بعضی ها میگن اینجا رو ببندیم بالاخره چی کار کنم

فعلا اینو داشته باشید

همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند.

همانطور كه مي دانيد در تاريخ يونان باستان سربازان در يك اسب چوبي پنهان شده اند و توانسته اند «تروا» رافتح كنند. در همين ارتباط است كه در مورد برنامه ها و نرم افزارهاي كامپيوتري هم كلمه trojan هميشه به ياد آورنده برنامه هايي با ظاهر بسيار ساده ولي كارايي هاي مخفي فوق العاده است. بعنوان مثال شما ممكن است برنامه اي را به گمان اينكه يك «بازي» بيش نيست از اينترنت Download كرده باشيد ولي در واقع آن برنامه اي است كه مشغول جمع آوري اطلاعات درباره شما و يادر حال غير فعال كردن عوامل اميني دستگاه شماست تا كار يك نفوذگر (hacker) را ساده تر كند.

اين برنامه ها (تحت عنوان Torjans) مي توانيد به صورت هر نوع برنامه اي ظاهر شوند و فعاليتي كاملاً متفاوت از آن چه از آنها انتظار مي رود را انجام دهند. آنها مي توانند به صورت بازي، Screen saver ، Update كننده نرم افزارهاي مختلف، برنامه هاي نفوذ (----) يا حتي برنامه هاي Anti. Torjan ظاهر شوند و حتي ممكن است به برنامه هايي كه هم اكنون در دستگاه شما نصب است و به آن ها اطمينان داريد ضميمه شوند

از چه راهي وارد مي شوند؟

Download كردن فايل هاي آلوده از اينترنت، معمول ترين شيوه قرار گرفتن در معرض خطر است ولي trojan ها از راههاي زيادي ممكن است به سيستم شما راهيابند از جمله:

ضميمه شدن به يك e-mail

جاسازي شدن در HTML متن يك برنامه

از طريق ديسكت ها

ضميمه شدن به يك برنامه

در حال فرستادن يا دريافت فايلي از طريق IM

از طريق يك Hyperlink به يك URL كه حاوي متن عجيبي است.

از طريق نفوذ به يك فولدر Share شده

يا اينكه يك Hacker شخصاً اقدام مي كند و با وارد كردن يك ديسكت يا CD به كامپيوتر شما، آن را آلوده مي كند.

در هر يك از حالت هاي بالا يك چيز قطعي است و آن اينكه يك Hacker بالاخره به طريقي از سيستم دفاعي كامپيوتر شما عبور خواهد كرد.

شبكه هاي كمي به كاربران و دارندگان كامپيوترهاي شخصي نيروي دفاعي لازم براي جلوگيري از حملات اين چنين را مي دهند. وقتي از يك برنامه آلوده استفاده مي كنيد، قسمت پنهان Trojan خود را در يك قسمت مخفي كپي مي كند اين موضوع تغييراتي در سيستم شما ايجاد مي كند و باعث مي شود كه هر بار كه دستگاهتان را روشن مي كنيد Trojan هم اجرا شود. Trojan مي تواند به يكي از روش هاي زير در يك مكان مخفي شود:

ربودن يك آيكن آشنا

تغيير نام دادن يك فايل

Packaing

Binding

ربودن يك ايكن آشنا يكي از مرسوم ترين شيوه هايي است كه برنامه هاي مخرب به كار مي گيرند، وقتي روي آيكن مورد نظر كليك مي كنيد، Trojan برنامه را در حالت عادي اجرا مي كند تا شما شك نكنيد، ولي در همين حال مشغول انجام دادن عمليات خرابكارانه خود است.

راه ديگر تغيير دادن نام فايل هاست، Trojam نام يكي از فايل هايي كه بسيار مورد استفاده شماست مي گيرد و به خود نامي آشنا چون Dir.exe يا Calc.exe مي دهد، كافيست در هنگام اجراي آن Ctrl+Alt+del را فشار دهيد، خواهيد ديد كه مي تواند حتي به صورت يك تايمر سيستم يا آنتي ويروس ظاهر شود. Packing يك برنامه هم به معناي انجام مراحلي است كه باعث شود آن برنامه فضاي كمتري در هارد اشغال كند. اين كار البته باعث مي شود كه ساختار برنامه به طور كلي عوض شود. كه در نتيجه شناسايي آنها توسط آنتي ويروس ها و Antitrogan ها مشكل مي شود.

Binding هم يعني ضميمه كردن كدهاي خرابكارانه به برنامه ها در اين صورت وقتي برنامه اجرا مي شود، همزمان با آن Trojan هم شروع به فعاليت مي كند.

صدماتي كه Trojan ها مي توانند به سيستم شما وارد كنند:

مهمترين فعاليت آنها اين است كه امكان دستيابي مستقيم به سيستم شما را فراهم مي كنند (در اين صورت به نام RAT شناخته مي شوند) در اينترنت هزاران RAT وجود دارد كه اكثر آنها مجاني هستند و كار با آنها آنقدر ساده است كه حتي افرادي كه اطلاع كمي در زمينه كامپيوتر دارند مي توانند آنها را فعال كنند.

RAT ها مي توانند كنترل سيستم شما را بدست گيرند و يك يا چند عمل زير را انجام دهند:

فايل ها را كپي كنند، نام آنها را تغيير دهند يا آنها را پاك كنند.

نشانگر موس را پنهان كنند.

كامپيوتر شما را Reboot كنند.

كلمات عبور را فاش كنند.

ارتباط شما را به اينترنت وصل يا از آن قطع كنند.

كنترل Web cam شما را به دست گيرند.

e-mail هاي مختلفي را بفرستند يا دريافت كنند.

و اين ليست ادامه مي يابد،....

اما چرا بايد كسي علاقمند به در دست گرفتن كنترل كامپيوتر شما باشند؟

اگر شما فقط كاربري با يك PC هستيد امكان اينكه مورد حمله hacker ها قرار بگيريد چندان زياد نيست. اما با اين حال كافيست يكبار مورد حمله قرار گيريد، پس از آن كامپيوتر شما مثل وسيله اي است كه كامپيوترهاي ديگر هم از طريق آن مي توانند مورد حمله قرار گيرند.

استراتژي آنها اين است كه ابتدا به كامپيوترهاي شخصي حمله مي كنند و سپس از آنها در حمله به سيستم هاي كامپيوتري قوي مثل دانشگاهها يا سازمان ها استفاده مي كنند و بعد از پايان يافتن عمليات، تمام ردپاهاي خود را از بين مي برند، رديابي حملات غير مستقيم معمولاً غير ممكن يا بسيار دشوار است.

چگونه از دستگاه خود محافظت كنيم؟

هيچ برنامه يا ليستي به تنهايي نمي تواند جلوي حملات trojan ها را بگيرد بنابراين شما نيازمند استفاده از تركيبي از تكنيك ها هستيد. شما بايد به كامپيوتر خود به ديد شهري كه در معرض حمله دشمن است نگاه كنيد پس نياز داريد:

براي آن ديوار بسازيد

مراقب افرادي كه در ارتباط با شهر هستند باشيد

دشمان احتمالي را ريشه يابي كنيد.

براي آن ديوار بسازيد

اولين مرحله دفاع بايد توسط تنظيمات امنيتي نرم افزار اينترنت شما باشد (Security setting) شامل email, Messanger, browser .

تا آنجا كه مي توانيد در تنظيم آن دقيق باشيد، مرحله دوم firewall (ديوار آتش) است تا اين جا توانسته ايد جلوي قسمت عظيمي از هجوم ها را بگيريد.

مراقب افرادي كه در ارتباط با شهر هستند باشيد

هربار كه فايلي download مي كنيد يا به هر طريقي مثل email به شما مي رسد، شما يك trajan را به كامپيوتر خود دعوت مي كنيد. عباراتي مثل “Free” يا “exciting” و جملات وسوسه انگيزي از اين قبيل بايد فوراً شما را به فكر وادارد. سايت هاي غير قانوني (Warez) ممكن است در نگاه اول جالب به نظر برسند ولي عموماً حاوي ويروس هاي پر مخاطره اي براي سيستم شما هستند . download كردن فايل از چنين سايت هايي درست مثل كوبيدن يك چكش به هارد ديسك شما عمل مي كند.

موارد بسيار زياد ديگري هم در اين ارتباط وجود دارد. مثلاً چيزهايي كه ما همواره به آنها اعتماد مي كنيم، از تبديل ديسكتي كه يك دوست به ما مي دهد. برنامه هايي كه سايت ها براي Update كردن ارائه مي كنند و هيچ وقت فكر نكنيد كه نرم افزارهايي كه از شركتهاي معتبر تهيه مي كنيد كاملاً سالم هستند.

همه راههاي ووردي فايل ها را چك كنيد.

هر فايلي كه برايتان فرستاده مي شود را نپذيريد.

همه فايل ها را Scan كنيد.

Bios كامپيتر خود ا چك كنيد تا از راه فلاپي boot نشود.

دشمان احتماي را ريشه يابي كنيد.

طراحي Trojan ها طوري است كه شناسايي آنها را مشكل مي كند و اگر طراح آنها شخص با تجربه اي باشد شما هيچ وقت از وجود آنها مطلع نخواهيد شد. ولي يك چيز بين همه آنها مشترك است و آن اينكه آنها تنظيمات دستگاه شما را تغيير مي دهد.

چه بايد كرد؟

مراقب همه تغييراتي كه در سيستمتان رخ مي دهد باشيد. نرم افزارهاي متعددي وجود دارند كه همه تغييرات در تنظيمات(Setting) دستگاهتان را به اطلاعتان مي رسانند. يكي از برنامه ها Intergrity Master قابل Download كردن از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است . از ديگر برنامه هاي مشابه مي توان به Inctrl5 قابل Download از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] است. بعد از نصب اين برنامه بايد هر بار كه سيستم خود را روشن مي كنيد يا نرم افزاري جديدي را نصب يا اجرا مي كنيد اين برنامه را فعال كنيد تا در صورتي كه از تغييرات setting دستگاهتان راضي نيستيد با backup گرفتن آنها را به صورت قبلي در بياوريد.

جعبه هاي شني (sand boxes)

يكي از راههاي ديگر هم اين است كه همه برنامه ها و فايل هايي كه مي خواهيم در سيستم خود بريزيد را قبلاً چك كنيد. براي اين منظور مي توانيد از برنامه هايي چون surfingGuard قابل نصب از سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده كنيد. اين برنامه به شما اجازه نصب هر برنامه اي را مي دهد ولي در يك محيط كنترل شده(Sand box) تا احتمال وارد شدن هر گونه صدمه اي به دستگاه شما را به حداقل برساند.

شناسايي و پاك كردن trojanها:

بعضي معتقدند بهترين راه پاك كردن hard disk و ريختن دوباره ويندوز است ولي راههاي ساده تري هم براي اين كار وجود دارد. برنامه هاي Antivirus مدرن و قوي توانايي پاك كردن اكثر trojan ها را دارند. براي اطمينان بيشتر مي توانيد از اسكنر Anti-trojan هم استفاده كنيد. براي آشنايي با اسكنرهاي معروف Trojan ها مي توانيد به ليستي كه در سايت [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] آمده نظري بيندازيد. يكي از بهترين نمونه هاي آورده شده در اين سايت the cleaner است.

([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

اسب تراواي جديد به جاسوسي در وب سايت بانك‌ها مي‌پردازد
مترجم: مشورت

متخصصان امنيت مي‌گويند كه اسب تراواي جديدي را كه جزييات كاربران بانك الكترونيكي و جست‌وجو در وب را ثبت مي‌كند، يافته‌اند.
شركت ضد ويروس Sophos هشدار داده است كه اسب تراواي Banker-AJ، مشتريان بانك‌هاي انگليسي نظير Abbey، Barclays، Egg، HSBC، LIoyds TSB، Nationwide و Natwest را مورد هدف قرار مي‌دهد. اين اسب تراوا بر روي كامپيوترهاي اجرا كننده‌ي ويندوز مايكروسافت تاثير مي‌گذارد.
Sophos اعلام كرده است كه اين اسب زماني كه يك بار بر روي كامپيوتر نصب گردد، منتظر مي‌شود تا كاربران وارد وب سايت‌هاي آنلاين بانك‌هاي مورد نظر خود شوند و سپس اين اسب تراوا كلمات عبور آن‌ها را پيدا كرده و تصاويري لحظه‌اي از بخش‌هاي مورد هدف خود تهيه مي‌كند. اطلاعات كسب شده، در اختيار هكرهايي قرار مي‌گيرد كه از براي سرقت پول از داده‌هاي به دست آمده استفاده كنند.
Graham Cluley، مشاور تكنولوژي شركت Sophos گفته است اين رويداد، نسلي ديگر از حملات phishing است.
حمله كنندگان phishing، وب سايت‌هايي ساختگي و فريبنده ايجاد مي‌كنند تا بدين طريق اطلاعات شخصي قربانيان را به دست آورند. آن‌ها از ايميل‌هايي استفاده مي‌كنند كه به نظر مي‌رسد از سوي شركت‌هاي معتبر و مورد اطمينان ارسال شده باشند تا بدين ترتيب كاربران فريب داده و آن‌ها را تشويق و ترغيب به ورود به سايت‌هاي ساختگي و تقلبي كنند. سايت‌هايي كه در آن جا از قربانيان درخواست مي‌شود تا اطلاعاتي چون داده‌هاي كارت‌هاي اعتباري خود را ارايه دهند. حملات به طور مكرر و مداوم، مشتريان بانك‌ها را نشانه مي‌روند.
بانك Barclays گفته است كه پيش از نيز با تكنيك استفاده از سايت‌هاي ساختگي و غير قانوني مواجه شده است. يكي از نمايندگان شركت مي‌گويد: « اين گونه اسب تراوا، مسئله‌ايست كه ما بارها با آن روبور بوده و از وجود آن آگاهي داشته‌ايم. ما در حال همكاري با صنعت هستيم تا گام‌هاي بعدي را براي جلوگيري از اين برنامه‌هاي فريبنده تعيين كنيم و نيز مشتاقيم تا آموزش‌هاي لازم را در اين زمينه به مشتريان ارايه دهيم.»
Sophos همچنين اعلام كرده است كه چندين ماه پيش، اسب تراواي مشابهي را با عنوان Tofger مشاهده كرده، اما اين تكنيك در كشور برزيل مورد استفاده قرار گرفته شده است. برخي از گونه‌هاي برزيلي اين اسب تراوا، منتظر مي‌مانده تا كاربران به وب سايت يكي از بانك‌ها وارد شوند. اما اين تراواي تازه كشف شده، بسياري از بانك‌هاي مشهور انگليس را مورد هدف قرار داده و همين امر آن را مورد توجه قرار داده است

هكرهاي پررو محصولات شان را مي فروشند

همشهری : گروهي به نام ازهكرها، فروشگاه آنلايني را راه اندازي كرده اند كه كد منبع به سرقت رفته محصولات نرم افزاري مهم و معروف را مي فروشد و در حال ارايه كدي براي نرم افزار ديوار آتش PIX شركت سيسكو سيستمز به مبلغ ۲۴۰۰۰ دلار (۱۳۰۰۰ پوند) است.
Source Code Club روز دوشنبه (اول نوامبر) به صورت آنلاين پديدار گشته و از پيام هايي براي گروه هاي گفتگوي آنلاين درباره امنيت استفاده كرده تا بدين طريق بازگشت خود را به عرصه كسب و كار اعلام كند.
اين گروه از ايميل ها و پيام هاي ارسالي در گروه Usenet براي مكاتبه و ايجاد ارتباط با مشتريان استفاده كرده و سفارش هايي را براي كد منبع محصولات امنيتي گوناگون دريافت مي كند كه برخي از آن ها عبارتند از ديوار آتش PTX ۶.۳.۱ سيسكو و نرم افزار سيستم رديابي و كشف ورودهاي بدون مجوز (IDS) از شركت Entrasys Networks… اين كلوپ ابتدا در ماه ژوئيه به وجود آمده و با استفاده از صفحه وبي با آدرسي در اوكراين، پيام هايي را به فهرست مباحث امنيتي Full-Disclosure ارسال كرده است تا بدين ترتيب براي محصولات خود تبليغ كند.
اين كلوپ كد منبع، اعلام كرده است كه هوشمندي شركت را به همراه ديگر خدمات بي نام، به مشتريان خود مي فروخته است. اين كلوپ، كد منبع بسياري از نرم افزارهاي كليدي دنياي شبكه را با قيمت هاي مختلفي ارائه كرده، به عنوان مثال كد نرم افزار مبادله فايل (file Sharing) شركت Napster كه هم اكنون بخشي از Roxio است به مبلغ ۱۰۰۰۰ دلار در سايت اين گروه ارائه شده بود.
اين گروه تنها چند روز پس از اين جريان مجبور به متوقف كردن عمليات خود گشته و اعلام كرده است كه نيازمند طراحي مجدد مدل كسب و كار خود است.
اين گروه، قيمت كد Entrasys و Napster را به ترتيب به ۱۹۲۰۰ دلار و ۱۲۰۰۰ دلار افزايش داده است.
اين كلوب هك، همچنين عضويت خصوصي را به همراه وعده دسترسي به فهرست كد منابع بيشتر، به كساني كه يك كپي كامل از كد منبع محصول را خريداري كنند، پيشنهاد مي كند.

ماهان جان
من خودم هر روز سري به تاپيكت ميزنم و از مقالات جديدت استفاده ميكنم.ولي نميدونم چند نفر ديگه مثل من هستند.ولي من كه كللي فيض بردم.
ارادتمند

به خاطر توهم که شده مینویسم
:mrgreen:

آسيب پذيري خطرناك در ويندوز سرور مايكروسافت

آسيب پذيري خطرناكي در يكي از سرويس هاي ويندوز به نام WINS به وجود آمده است كه بسياري از شركت ها را تهديد مي كند.

به گزارش بخش خبر تراشه از سايت امنيت وب، سرويس (WINS (Windows Internet Name Service يكي از اجزاء و سرويس هاي پايه اي براي ويندوز هاي NT4 ،2000 Server و سرور 2003 مي باشد.

مايكروسافت براي حل اين مشكل فعلا يك راه حل زودگذر بيان كرده است تا در آينده بتوان اين آسيب پذيري را اصلاح كند.

اين آسيب پذيري ابتدا توسط شركت سازنده نرم افزارهاي امنيتي Immunity بيان شد كه به عنوان يك آسيب پذيري سرريزي بافر مي باشد. آسيب پذيري سرريزي بافر از راه دور به يك مهاجم اجازه مي دهد كه كنترل سيستم را به دست بگيرد.

مايكروسافت بيان كرده است كه اين آسيب پذيري در ويندوز 2000 حرفه اي و ويندوز XP و ME وجود ندارد.

WINS يك ابزار نامگذاري براي سرور ها مي باشد كه براي هر آدرس IP يك نام مشخصي را در شبكه در نظر مي گيرد.

اين آسيب پذيري توسط شركت امنيتي Secunia به صورت متوسط بحراني بيان شده است.

لازم به ذكر است كه كدهاي مخربي براي اين آسيب پذيري در حال حاضر به صورت عمومي منتشر نشده است ولي به صورت محرمانه بين هكر ها و گروههاي زير زميني منتشر مي شود

ويروسي جديد که از طريق يک فايل‌ MP3 وارد رايانه‌ مي‌شود


اگر يك پست الكترونيكي با يك فايل ضميمه‌ي MP3 را از آخرين آهنگ‌هاي Stef SuN دريافت كرديد پيش از باز كردن آن بايد بسيار مراقب باشيد چرا كه اين پيغام حامل ويروس جديدي است كه مي‌تواند آسيب زيادي به رايانه‌ي شخصي شما وارد كند.

كارشناسان امنيت رايانه‌يي هشدار دادند كه كاربران بايد مراقب يك كرم جديد شبكه باشند كه از طريق فايل‌هاي MP3 شامل آهنگ‌هاي Sun خواننده‌ي پاپ سنگاپوري است كه آلبوم جديد وي تازه منتشر شده است.

پس از آلوده شدن سيستم، اين ويروس از خود به طور خودكار نسخه‌هاي جديد توليد كرده و از طريق آدرس‌هاي ثبت شده، خود را به اين آدرس‌ها ارسال مي‌كند.

اين امر باعث مصرف حجم عظيمي از منابع سيستم شده و سرعت سيستم را به شدت كاهش مي‌دهد.

وقتي كه spammer‌‌‌‌ها هرزنامه دريافت مي‌كنند!

Lycos، يكي از پورتال‌هاي اينترنت اروپا، به تازگي نرم‌افزاري ساخته است كه مورد توجه همه كاربران نامه‌هاي الكترونيكي قرار خواهد گرفت؛ راهي براي گرفتار كردن spammer‌‌‌‌ها.

به گزارش بخش خبر تراشه ، اين نرم‌افزار چيزي جز يك screensaver نمي‌باشد و وب‌سايت‌هايي را كه از هرزنامه براي بازاريابي خود استفاده مي‌كنند، هدف قرار مي‌دهد. بدين ترتيب مجموعه‌اي از دريافت‌كنندگان spam قادر خواهند بود تا با تقاضاي مكرر اطلاعات از سرور‌هاي اين سايت‌ها، پهناي باند آنها را كاهش دهند.

اين screensaver در يك‌ماهه اخير به طور پنهاني در سوئد آزمايش شد و تا‌كنون 80 هزار نسخه از آن دانلود شده است. جالب اينكه زمان پاسخگويي برخي از سرور‌ها در اين آزمايش تا 85 درصد افزايش يافته است.

از مزاياي اين نرم‌افزار علاوه بر ايجاد حس انتقام در قربانيان هرزنامه! پوشيده ماندن تقاضاهاي مكرر در زير چتر يك URL است؛ وقتي يكي از نرم‌افزار‌هاي مديريت سرور متوجه افت سرعت مي‌شود، تنها چيزي كه مشاهده مي‌كند تقاضا براي سايت[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مي‌باشد.

البته اين نرم‌افزار تمام پهناي باند سرور را مسدود نمي‌سازد و داراي مكانيزمي است كه پس از اطمينان از محدود شدن ظرفيت سرور، جريان تقاضا‌ را متوقف مي‌سازد.

هرزنامه‌ها براي سرور‌ها بسيار سود‌آور مي‌باشند؛ حتي اگر هر بار تنها يك درصد از دريافت‌كنندگان هرزنامه به آن پاسخ دهند، سود مناسبي نصيب اين سرور‌ها مي‌شود. هدف اين screensaver هم در واقع افزايش مخارجي است كه متوجه صاحبان اين سرور‌ها مي‌باشد.

ماهان جان اين خبر خيلي بامزه بود! به نظرم حالت امنيتي نداشت. :wink:

میشه بهش بگی امنیت بامزه
:mrgreen:

ویروسی که با راهنمائی کاربر به سایتهای سکس وی را فریب میدهد


متخصصين به كاربران درمورد ايميلهايي هشدار دادند كه ادعا مي كنند حاوي عكسهاي طنز گونه اي هستند اما درواقع به وب سايتي كه كرمهاي مخرب مي توانند از آنجا در كامپيوتر دانلود شوند لينك شده اند.

ایمیلهای آلوده نشانه هائی داردن که تعدادي از نشانه هاي گزارش شده از اين ايميلهاي فريبنده را براي آلودگي به كرم Bofra در اينجا مي خوانيد .
اين كرم با موضوع : سلام , عكسهاي بامزه و پيغام متني كه به کاربر می گويد: صفحه home مرا براي ديدن آخرين عكسهاي بامزه و دانلود ويدئو هاي مجاني باز كن و SIGN UP كن ظاهر مي شود.
ايميلها اكثر مواقع حاوي لينكي هستند كه به وب سايتهاي --- ختم مي شوند كه در صورت كليك كاربران در روي آنها كامپيوتر كاربر به خطر مي افتد .

كد مخرب درون وب سايتها با بهره برداري از آسيب پذيري اخير كشف شده در اينترنت اكسپلورر مايكروسافت اجرا مي شوند و سپس كرم خرمني از ايميلهاي آلوده را به ديگر آدرس ايميلها با هدف انتشار خودش مي فرستد .اين كرم با استفاده از علاقه مندي هاي كاربران آنان را قلقلك كرده و خود را به جلو مي راند .
اين آسيب پذيري و كرم در ويندوز XP با Service Pack 2 اثر گذار نمي باشد.

ویروسی در لباس کارت اعتباری


متخصصين به كاربران اعلام كردند كه در معرض آلودگي با كرم Bofra-B هستند.

كرم Bofra-B فرستنده ايميلهايي است كه وانمود مي كند حامل كارت اعتباري 175 دلاري مي باشند كه به گيرندگان توصيه مي كند بر روي لينك جزئيات كليك كنند و اگر کاربر بروی لینک کلیک کند كامپيوترش بلافاصله آلوده مي شود كه اين نيز به آسيب پذيري اينترنت اكسپلورر بر مي گردد.

Graham Cluley گفت : كليك كردن بر روي لينكهاي ناشناس در كامپيوترهاي بي حفاظ مساوي است با حمله ويروسها .

اين سري از حفره ها فقط در اينترنت اكسپلورر مايكروسافت در هفته گذشته گزارش شده و هنوز هم patch براي آن در دسترس نمي باشد و اين سريعترين بازتاب آسيب پذيري كشف شده مي باشد كه تا كنون مشاهده نشده بود.

كاربران هوشیار باشند كه براي خريداري كارتهاي اعتباري و يا شارژ آنها هرگز براي به دست آوردن جزئيات بيشتر بر روي لينكهاي ناشناس كليك نكنند.

ايميل فرستاده شده توسط كرم W32/Bofra-B ممكن است داراي مشخصات زير باشد:
From:
exchange-robot@paypal.com

Subject line:
تاييد

Message body:
تبريك و شادباش , كارت اعتباري 175 دلار ي شما با موفقيت شارژ شد . A866DEC0 شماره سفارش شما مي باشد و آيتم شما در سه روز كاري پر شده است . براي جزئيات بيشتر بر روي لينك زير كليك كنيد.
وسپس به کار بر می گويد كه اين پيام به صورت اتوماتيك فرستاده شده و پاسخي دريافت نخواهد كرد.

صفحه HTML ایمیل در رنگهايي غير از سفيد ظاهر مي شود.
برخي از ناظران آنتي ويروس حفاظت خود را در برابر كرم Bofra با كدهاي مربوط به كرم MyDoom ارائه داده اند اما Sophos مصمم است كه Bofra از اعضاي خانواده ماي دوم نمي باشد و تفاوت مابين اين دو را از طريق گسترش آنها در بين كاربران تشخيص داده است.


تروجان Bancban-AC

Bancban يك تروجان رباينده پسورد ها مي باشد كه هدفش مشتري هاي مخصوص بانك هاي برزيل مي باشد.اين تروجان كليد هاي فشرده شده را درون وب سايت هاي مخصوص ثيت مي كند و يك صفحه جعلي را نمايش مي دهد تا وقتي كاربر اطلاعات محرمانه خود آنها را در وارد كرد تروجان آنها را بدزدد.

اطلاعات دزديده شده توسط ايميل به كاربري در دور دست ارسال مي شود.

تروجان سعي مي كند آنتي ويروسها و ديواره هاي آتش متعلق به Norton را پيدا كرده و پاك كند. اطلاعات ربوده شده ممكن است در فايلي با نام USER.TXT يا فايلي تصويري به نام BARRA.BMP ذخيره شوند.

تروجان Bancban خودش را با فايلي با نام CSRSS.EXE يا يك Subfolder به نام SYSTEM در شاخه ويندوز ذخيره مي كند و مدخل زير را به رجيستري اضافه مي كند تا تروجان همزمان با اجراي ويندوز اجرا شود:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
KernellApps<Windows system>\System\csrss.exe

توصيه ها :

1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
KernellApps<Windows system>\System\csrss.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

آدرسهای دوگانه ، حیله جدید هکرها

مايكروسافت این ادعاي کارشناسان كه spoofing كشف شده در اينترنت اكسپلورر را در اثر يك حفره امنيتي میدانستند ، را نپذيرفت. به گفته متخصصین امر در نرم افزار اينترنت اكسپلورر ورژن 6 امكان وقوع حيله هاي اينترنتي وجود دارد كه به ادعاي مايكروسافت این اشکال نرم افزاری ویندوز نيست .

spoofing تاکتیکی است براي فریب كاربران به اینصورت که آنها بر روی آدرس شناخته شده ای کلیک میکنند ولی بجای آن به يك وب سايت " spoof " شده هدايت میشوند. از تكنيك Spoofing خيلي اوقات در ايميل scam هاي phishing استفاده مي شود و بوسیله آن هکرها كوشش مي كنند اطلاعات شخصي كاربران را با تفهیم این مسئله که از يك منبع قانوني درخواست میشود ، از وی استخراج كنند.

مايكروسافت اين رويداد امنيتي را كه URL غیرواقعی و فریبنده در نوار وضعيت اينترنتت اكسپلورر به كاربر نمايش داده مي شود را در اثر يك حفره امنيتي نمي داند و و ادعا مي كند كه این فقط يكي ديگر از حيله هاي مورد استفاده هكرها مي باشد.

وقتي كه كاربر در صفحه وب بر روي لينكي كليك مي كند يك URL متفاوت از آن چيزي كه كاربر تقاضا كرده در نوار وضعيت اينترنت اكسپلورر ظاهر مي شود كه او را با لينكهاي جعلي به وب سايتي متفاوت خواهد برد. هکرها این عمل را براي کش رفتن اطلاعات امنيتي از قبيل مسائل محرمانه مالي كاربران انجام مي دهند.

مايكروسافت اعلام كرد براي فاتح شدن به چنين حملاتی نياز به مهندسين مجرب دارد.كمپاني به كاربران سفارش مي كند كه قبل از کلیک کردن بر روی هر URL آنرا چك كنند. همچنین ادعا میکند كه ويندوز XP Service Pack 2 تحت تاثير اين رويداد واقع نشده است.

همچنين اعلام شده است كه HTML ايميلها نيز تحت تاثير تكنيك spoofing قرار گرفته اند بنابراين Outlook Express مايكروسافت هم آسيب پذير مي باشد .

بهترین راه حل برای در امان ماندن از حملات اسپوفینگ آنست که کاربران قبل از اجرای هر آدرسی با راست كليك كردن بر روي لينكها مقصد نهائی آنرا با خود آدرس مطابقت دهند .

كرم Sdbot-SX


Sdbot-QX يك كرو شبكه و در پشتي تروجان مي باشد كه با اجرا شدن در پيش زمينه كامپيوتر به عنوان يك برنامه كاربردي به مهاجم اجازه مي دهد كه از طريق كانال هاي IRC به سيستم آلوده دسترسي داشته باشد.

كرم Sdbot-QX قايليت اين را دارد كه مانند يك در پشتي بربرنامه هايي را بر روي سيستم نصب و اجرا كند.
اين كرم پس از اجرا خودش را با نام BBSBW.EXE در پوشه ويندوز ذخيره مي كند و مدخل زير را در رجيستري ايجاد مي كند تا مطمئن شود با اجراي ويندوز كرم نيز اجرا خواهد شد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe
كرم خودش را در شبكه هاي share شده كه پسورد ضعيف دارند كپي مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\gdagdgajs = bbsbw.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \gdagdgajs = bbsbw.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

كرم Bagz-F


Bagz-F جزء آن دسته از كرم هاي شبكه است كه از طريق پيغامهاي اينترنتي منتشر مي شود ،و داراي يك در پشتي است كه اجازه مي دهد يك مهاجم فايل هايي را روي سيستم آلوده دانلود و اجرا كند.
اين كرم آدرسهاي ايميل را از فايل هاي TXT, HTM, DBX, TBI وTBB جمع آوري مي كند و ايميلي را به آدرسي كه پيدا كرده و فرستنده ايميل ارسال مي كند.
همچنين برنامه هاي نرم افزاري مربوط به آنتي ويروس را از كار مي اندازد.


توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

شرح اضافه :

ايميل ارسالي داراي مشخصات زير مي باشد:

موضوع ايميل:

ASAP
please responce
Read this
urgent
toxic
contract
Money
office
Have a nice day
Hello
Russian''s
Amirecans
attachments
attach
waiting
best regards
Administrator
Warning
text
Vasia
re: Andrey
re: please
re: order
Allert!

فايل هاي الحاقي به صورت ZIP:

backup.zip
admin.zip
archivator.zip
about.zip
readme.zip
help.zip
photos.zip
payment.zip
archives.zip
manual.zip
inbox.zip
outbox.zip
save.zip
rar.zip
zip.zip
ataches.zip
documentation.zip
docs.zip

فايل هاي الحاقي به صورت exe:

backup.doc <lots of spaces> .exe
admin.doc <lots of spaces> .exe
archivator.doc <lots of spaces> .exe
about.doc <lots of spaces> .exe
readme.doc <lots of spaces> .exe
help.doc <lots of spaces> .exe
photos.doc <lots of spaces> .exe
payment.doc <lots of spaces> .exe
archives.doc <lots of spaces> .exe
manual.doc <lots of spaces> .exe
inbox.doc <lots of spaces> .exe
outbox.doc <lots of spaces> .exe
save.doc <lots of spaces> .exe
rar.doc <lots of spaces> .exe
zip.doc <lots of spaces> .exe
ataches.doc <lots of spaces> .exe
documentation.doc <lots of spaces> .exe
docs.doc <lots of spaces> .exe
sqlssl.doc <lots of spaces> .exe

كرم Bagz-F يك كپي از فايل هاي بالاو فايل هاي زير در شاخه ويندوز قرار مي دهد :

sysinfo32.exe
ipdb.dll
wdate.dll
jobdb.dll

كرم فايل host ويندوز را تغيير مي دهد تا دسترسي به وب سايت فروشنده هاي آنتي ويروس را غير ممكن كند.

اين كرم فايلي را با نام "Xuy v palto " در مسير "<Windows system folder>\trace32.exe" ايجاد مي كند و مدخل زير را در رجيستري ايجاد مي كند:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XUY _V_PALTO\
HKLM\SYSTEM\CurrentControlSet\Services\Xuy v palto\

همچنين ويروس KaZaA را از طريق پاك كردن مدخل زير در رجيستري از كار مي اندازد:

HKCU\Software\Kazaa\Settings\Quarantine


تروجان Mastseq-D


Mastseq-D يك تروجان در پشتي است كه به طور پيوسته در پيش زمينه ويندوز اجرا مي شود و تعدادي از سرويس ها را براي مهاجم آماده مي كند.
Mastseq-D با استفاده از تزريق كدهاي خود به برنامه مرورگر ويندوز باعث مي شود كه بعد از اجراي برنامه در سطوح دسترسي بالاتر ، اين كرم نيز در همان سطح دسترسي اجرا شود.
اين تروجان اطلاعات را از طريق پورت 80 (HTTP) به مكاني در دور دست ارسال مي كند.و سعي مي كند مدخل زير را از رجيستري حذف كند:
HKLM\Software\Numega\

تروجان دو فايل با نامهاي CHKBYZ.PNF and ZZBMP.APL در شاخه ويندوز ايجاد مي كند كه اين اطلاعات توسط تروجان مورد استفاده قرار مي گيرد و ممكن است بدون آسيب پاك شوند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky

سايت سازمان زندانهاي كشور هك شدند!


برخي سايتهاي متعلق به سازمان زندانهاي كشور شب گذشته توسط هكر ايراني هك شدند.
اين هكر كه به نام HU-Cracker Kurd خودش را معرفي كرده است شب گذشته 11 سايت متعق به سازمانهاي زندانها را هك كرد.
اين هكر كه تا به حال اسمي از او شنيده نشده است در شب گذشته صفحه نخست اين سايتها را به كلي تغيير داد و صفحه خود را جايگزين آن كرد.
سرور اين سايتها كه لينوكس مي باشد آسيب پذير بوده و هكر ها به اين مورد اشاره كرده اند و در صفحه خود تهديد كرده كه منتظر حملات بعدي باشيد.
از مطالب نوشته شده در صفحه اول اين سايت ها مشخص مي شود كه هك شدن اين سايت بنا به دلايل سياسي نبوده است.
اما در ايميل ديگري كه به مدير سايت امنيت وب ارسال شده است علت اين كار فشار روحي وارده بر سربازان زندان سنندج بيان شده است. البته مشخص نشده است كه اين ايميل از طرف هكر سايت ها ارسال شده يا خير.

ليست سايتهاي هك شده:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مبارزه‌ي مرورگرDeepnet در برابر حملات phishing


به دنبال ارايه‌ي برنامه‌ي اوليه‌اي از Netscape و عرضه‌ي Firefox 1.0، يك شركت انگليسي، مرورگر وبي ارايه داده كه ادعا مي‌كند از مرورگرهاي Internet Explorer و يا فاير فاكس، ايمن‌تر است.

Deepnet Technologies نسخه‌ي 1.3 مرورگر Deepnet Explorer را عرضه كرده است. اين مرورگر وب رايگان، مبتني است بر IE مايكروسافت، اما داراي ويژگي‌ها و قابليت‌هاي بيشتري است همچون قابليت پشتيباني و حفاظت از كاربران اينترنت در برابر حملات آنلاين و رو به افزايش معروف به حملات phishing است.

Deepnet Explorer، با قرار دادن سايت‌هاي phishing در ليست سياه و تجزيه و تحليل آدرس‌هاي وب و وب سايت‌ها، به دنبال حفاظت از كاربران در برابر چنين حملاتي است. حملات phishing، پيام‌هاي هرزنامه‌ها را با صفحه‌هاي وب كه ظاهري همانند سايت‌هاي تجارت الكترونيكي قانوني دارند، تركيب مي‌كنند تا بدين طريق بتوانند اطلاعات حساس و مهمي مانند اسامي كاربران، رمز عبور آن‌ها و شماره‌هاي كارت اعتباري آنان را سرقت كنند.

سازندگان Deepnet Explorer ادعا مي‌كنند كه مرورگر آن‌ها در مقايسه با IE و يا فاير فاكس، از امنيتي بيشتري برخوردار است، زيرا داراي اخطار phishing و ساير قابليت‌ها و ويژگي‌هاي امنيتي مانند عمليات كنترل محتوا است كه به كاربران امكان مي‌دهد كنترل‌هاي ActiveX و ساير تهديدهاي امنيتي را مسدود و متوقف سازند. همچنين اكثر مشكلات امنيتي IE، بر روي بدنه و ساختار برنامه‌هاي كاربردي تاثير گذار است نه موتور تبديل كننده (rendering) كه توسط Deepnet Explorer نيز مورد استفاده قرار مي‌گيرد.

Thor Larholm، محقق امنيتي ارشد PivX Solutions كه يك شركت خدمات امنيتي است، اعلام كرده است كه سازندگان Deepnet Explorer ادعا مي‌كنند كه اكثر آسيب پذيري‌ها در برنامه‌ي كاربردي IE يافت مي‌شوند نه در موتور تبديل كننده، اما اين گفته با پيدايش صدها آسيب پذيري در موتور تبديل كننده مغايرت دارد.
در حالي كه توليد كنندگان Deepnet ادعا مي‌كنند كه مرورگر آنان بسيار ايمن‌تر از ساير مرورگرهاست، نسخه‌ي 1.3 برنامه‌ي روزآمد ساز، آسيب پذيري‌هاي امنيتي متعددي را برطرف مي‌سازد. همچنين، اين مرورگر جديد در برابر نقص iframe در IE آسيب پذير است.

تنها برتري Deepnet Explorer نسبت به IE، داشتن تحليل‌گر phishing بوده كه دسترسي به سايت‌هاي phishing و URL هايي را كه phishy به نظر مي‌رسند، مسدود مي‌سازد.
هدف ساير ويژگي‌هاي Deepnet Explorer آن است كه مرور و جست‌وجو در وب را خوشايندتر سازند. اين مرورگر شامل مسدودكننده‌ي تبليغات pop-up نيز بوده تا وب سايت‌ها را از باز كردن ساير پنجره‌هاي حاوي تبليغات ناخواسته باز دارد.

Deepnet Explorer همچنين از مرورگرهاي داراي tab پشتيباني مي‌كند. اين مرورگر، يكي از چندين مرورگري است كه با ويژگي‌هاي بهتري نسبت به موتور مرورگر IE مايكروسافت ساخته شده است. Deepnet Explorer از طريق آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] قابل دانلود است

كرم Mofei-E

Mofei-E كرم شبكه است كه مانند در پشتي عمل مي كند و در شبكه هاي share شده با پسورد ضعيف منتشر مي شود
كرم به واسطه تزريق كردن خود در برخي برنامه هاي ويندوز خودش را از ديد كاربر پنهان مي كندو خودش را مانند يكي از سرويسهاي ويندوز اجرا مي كند.
پس از اجرا كرم خودش را با نام ALERTER.EXE در پوشه ويندوز ذخيره مي كند و دو فايل با نام هاي SPC.EXE وSPTRES.DLL در سيستم نصب مي كند كه به نام ويروس Mofie-M شناخته مي شود.
همچنين اين كرم فايلي ديگر به نام SPC.EXE و SPTRES.DLL را با تزريق در مرورگر ويندوز اجرا مي كند تا جاسوسي كاربر را كند.
SPTRES.DLL سعي مي كند كرم را به share هاي ADMIN$ و IPC$ كپي كند.
Mofie-E مدخل هاي زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\SYSTEM\ControlSet<number>\Services\Alerter\ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
اين كرم همچنين خودش را به صورت يكي از سرويس هاي ويندوز به نام netlog در ويندوز اجرا مي كند كه به نام Net Login Helper ديده مي شود كه فايل SCARDSER.EXE را اجرا مي كند.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\SYSTEM\ControlSet<number>\Services\Alerter\ImagePath<Windows folder>\System32\Alerter.exe
HKLM\SYSTEM\CurrentControlSet\Services\Alerter\Ima gePath<Windows folder>\System32\Alerter.exe
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

AOL امكانات امنيتي جديد ارايه مي‌دهد

نيويورك- شركت آمريكا آنلاين در برابر افزايش تهديدهاي امنيتي آنلاين، در حال بسته بندي ويژگي‌هاي جديدي براي مبارزه با ويروس‌ها، هرزنامه‌ها و نرم‌افزار جاسوسي است.
مشتركان مي‌توانند ابزارهاي رايگان را از طريق دانلود كردن نرم‌افزار جديدي به نام AOL 9.0 Security Edition كه از روز پنجشنبه قابل دسترس خواهد بود، مورد استفاده قرار دهند.
Danny Krifcher، نايب رييس اجرايي خدمات آمريكا آنلاين گفته است: « هنگامي كه اعضا با مسئله‌ي اجراي برنامه‌اي در كامپيوتر مواجه مي‌شوند، اين طور تصور مي‌كنند كه به واقع با مشكل اجرايي روبرو شده، اما چيزي كه در حقيقت گرفتار آن شده‌اند، ويروس و يا نرم‌افزار جاسوسي است.»
AOL 9.0 Security، جديدترين نسخه‌ي نرم‌افزار آمريكا آنلاين بوده كه نرم‌افزار ضد ويروس مكافي و برنامه‌هاي به روز رساني خود را براي مشتركان dial-up و با سرعت بالا فراهم مي‌سازد.
تأكيد جديد بر امنيت، به دنبال تلاش موفقيت آميز آمريكا آنلاين طي يكسال گذشته براي مبارزه با هرزنامه و ايميل‌هاي تبليغاتي صورت پذيرفته است كه موجب ايجاد اختلال و آشفتگي در ميل باكس بيش از بيست ميليون مشتري مي‌شده‌اند. اين شركت با استفاده از فيلترهاي جديد و ارايه‌ي قوانين جديد ضد هرزنامه، با مشكلات موجود به مقابله و مبارزه پرداخته است.
Jonathan F. Miller، مدير اجرايي آمريكا آنلاين اعلام كرده است كه نسخه‌ي جديد نرم‌افزار AOL مي‌بايد از مشتركان در برابر نرم‌افزارهاي جاسوسي موجود بر روي كامپيوترهاي شخصي آن‌ها، پشتيباني و حفاظت كند.
اين بسته‌ي نرم‌افزاري جديد شامل امكانات ذيل است:

1- نرم‌افزار ضد ويروس شركت مكافي به همراه برنامه‌هاي به روز رساني رايگان و خودكار. در گذشته، فراهم كردن چنين پشتيباني از طريق AOL، 2.95 دلار در ماه، هزينه به دنبال داشته است.
2- پشتيباني در برابر نرم‌افزار جاسوسي. پيش از اين، اسكنر نرم‌افزار جاسوسي آمريكا آنلاين تنها يكبار در هفته اجرا مي‌شده است. هم‌اكنون، يك SpyZapperجديد، هر زمان كه كاربران برنامه‌هاي مخرب را دريافت كنند، حافظه‌ي كامپيوتر را بررسي مي‌كند.
3- كنترل هرزنامه‌ها. براي كنترل تعداد ايميل‌هاي قانوني و مجاز كه به اشتباه پاك مي‌شوند، ----- هرزنامه هم‌اكنون تنظيمات بالا، متوسط و پاييني فراهم مي‌كند. اين ----- همچنين پيام‌هاي فوري ناخواسته را متوقف و مسدود مي‌سازد.
4- مسدود كننده‌ي تبليغات pop-up. اين برنامه، تبليغات رسانه‌اي را كه در سراسر صفحات وب وجود دارند، مسدود مي‌كند.
5- كنترل‌هاي والدين. والدين قادر خواهند بود اشخاصي را كه فرزندانشان مي‌توانند پيام‌هاي فوري با آن‌ها رد و بدل كنند، محدود سازند.

براي مبارزه با سرقت اطلاعات شخصي و هويتي، آمريكا آنلاين همچنين با آژانس اعتباري Experian همكاري كرده تا سرويسي ارايه دهد كه مشتركان هنگامي كه از كارت‌هاي اعتباري‌شان بيش از حد مجاز استفاده شده، با خبر گردند.

Sybari، محصولات امنيتي براي IM و SharePoint ارايه مي‌كند

Sybari Software، يك Antigen 8.0 را براي SharePoint مايكروسافت و Antigen 8.0 ديگري براي سرويس پيام فوري ارايه كرده است. اين دو محصول ضد ويروس، ضد هرزنامه و نرم‌افزار امنيتي ----- كردن محتوا براي محيط‌هاي سازماني در نظر گرفته شده است.
Joe Licari، مدير مديريت محصول در Sybari گفته است كه هر دوي اين محصولات در محيط‌هاي جديد بسياري از فروشگاه‌هاي آي‌تي قرار مي‌گيرند.
Antigen 8.0 براي SharePoint مايكروسافت براي شركت‌هايي طراحي شده است كه از سرور پورتال SharePoint مايكروسافت براي ارتباط و اتصال با تامين كنندگان، مشتريان و همكاران از طريق مبادله‌ي اسناد و مدارك و ساير هوشمندي‌هاي تجاري استفاده مي‌كنند.
وي در ادامه افزوده است كه از آن جايي كه شركت‌ها بر محصولاتي چون SharePoint مايكروسافت تكيه دارند، نياز و لزوم ايمن كردن اين منابع، امري مهم و ضروري محسوب مي‌شود. اين امر در مورد Antigen 8.0 براي سرويس پيام فوري نيز صدق مي‌كند.
Licari گفته است: « سرويس پيام فوري توسط بسياري از بخش‌ها حتي بدون اطلاعات آي‌تي مورد استفاده قرار مي‌گيرد. اين محصول براي آن طراحي شده تا به مديران آي‌تي امكان دهد بدون آسيب رسيدن به كارايي سرويس پيام فوري، آن را ايمن سازند.»
نسخه‌ي جديد Antigen 8.0 براي SharePoint مايكروسافت شامل امكان تهيه‌ي گزارش و بررسي كليدي اسناد و مدارك و قابليت‌هاي ويژه‌ي روز آمد سازي است.
نسخه‌ي جديد Antigen 8.0 براي IM شامل پشتيباني براي Live Communication Server 2005 مايكروسافت، قابليت بررسي محتواي اسناد و مدارك و تكنولوژي بهبود يافته‌ي به روز رساني موتور بررسي است. IM يكي از ابزارهاي مهم براي ارتباطات شخصي و كاري محسوب مي‌شود.
نود درصد از سازمان‌ها گزارش داده‌اند كه كاربران آن‌ها به برنامه‌هاي كاربردي سرويس پيام فوري (IM) دسترسي دارند.
محصولات جديد در پيش گفته شده، به زودي قابل دسترس خواهند بود. هزينه‌ي اين محصولات بستگي به سايز و پيكربندي شبكه دارد.

ويروس Primat-C

Primat-C ويروسي است كه از طريق شبكه هاي P2P و شبكه هاي share شده بدون محافظ منتشر مي شود.
ويروس سعي مي كند فايل هايي با پسوند هاي EXE, SCR or PIF را در پوشه هاي زير آلوده كند:

Network shares named "C" on randomly-chosen IP addresses
The Kazaa "DownloadDir"
The top folder of any valid drives
اين ويروس آموزش مخصوص مي بيند كه فايل هاي زير را در share هاي قابل دسترس كه "C\Windows" ناميده مي شود، آلوده كند:
Rundll32.exe
Scanregw.exe
همچنين يك كپي از خودش با نام msdis.dll در پوشه temperory ويندوز ايجاد مي كند و اگر در 18th هر ماه اجرا شود به صورت يك عكس bitmap نمايش داده مي شود.

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
به علت اينكه اين كرم خودش را در بسياري از Share هاي ويندوز كپي مي كند بنابراين براي پاك كردن آن حتما از آنتي ويروس هاي به روز شده استفاده كنيد.


كرم Sober-I

كرم Sober-I جزء آن دسته از كرم هاي خانواده Sober مي باشد كه خودشان را به وسيله پيغام هاي اينترنتي در سيستم هاي ويندوزي منتشر مي كنند و آدرسهاي ايميل را از فايل هايي با پسوند هاي زير جمع آوري مي كند:

PMR STM SLK INBOX IMB CSV BAK IMH XHTML IMM IMH CMS NWS VC CTL DHTM CGI PP PPT MSG JSP OFT VBS UIN LDB ABC PST CFG MDW MBX MDX MDA ADP NAB FDB VAP DSP ADE SLN DSW MDE FRM BAS ADR CLS INI LDIF LOG MDB XML WSH TBB ABX ABD ADB PL RTF MMF DOC ODS NCH XLS NSF TXT WAB EML HLP MHT NFO PHP ASP SHTML DBX

كرم پس از اجرا پيغام خطايي قلابي را با عنوان "WinZip Self-Extractor" نمايش مي دهد كه متن آن "WinZip_Data_Module is missing ~Error:..." مي باشد و هنگامي كه اين پيغام را نمايش مي دهد فايل هاي زير را در پوشه ويندوز ايجاد مي كند:

Odin-Anon.Ger
clonzips.ssc text-ascii
clsobern.isc text-ascii
cvqaikxt.apk
dgssxy.yoi
diagdatacrypt.exe win-pack-hackupx
expolerlog.exe win-pack-hackupx
nonzipsr.noz
sysmms32.lla
winroot64.dal
winsend32.dal
zippedsr.piz text-ascii

سپس خودش را با فايلي با پسوند EXE و نامي تشكيل شده از كلمات زير در پوشه ويندوز كپي مي كند:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service,smss32
همچنين مدخل زير را در رجيستري ايجاد مي كند تا با اجراي ويندوز كرم نيز اجرا شود :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1

توصيه ها :
1-به روز كردن آنتي ويروس
2- دريافت Removal از سايت Kaspersky
3-روش پاك سازي به صورت دستي :
ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.
پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.
در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .
براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه ''''''''''''''''Export Registry File'''''''''''''''' و در پنل ''''''''''''''''Export range'''''''''''''''' گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.
حال در مدخل HKEY_LOCAL_MACHINE رجيستري زير مدخلهاي
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<random name> =<random filename>
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once\MSAntiVirus =
<path_to_file*gt;\<filename> %1
هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.
سپس رجيستري خود را ببنديد حال فايل اشاره شده را نيز در پوشه Startup ويندوز پيدا كنيد و پاك كنيد. دوباره سيستم خود را راه اندازي كنيد.


شرح اضافه:
كرم ممكن است ايملي را با مشخصات زير ارسال كند:
موضوع:
FwD:
Re:
Oh God
Registration Confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system
Key:
SMTP:
ESMTP:
Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ungueltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.-Ihr Account
Ihre neuen Account-Daten
Auftragsbestaetigung
Lieferung-Bescheid

متن پيغام:

Message Text for Subject ''Oh God'':

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

Message Text for delivery failure subject lines:contructed from

This mail was generated automatically.
More info about --<random name>-- under: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

<random ip><random error message1>
# <random number>: <randomly chosen error message2>

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

_does_not_like_recipient.
_does_not_like_sender

پيغام احتمالي خطا2:

This_account_has_been_discontinued_[#144].
mailbox_unavailable
Remote_host_said:_delivery_error
Giving_up_on_53.32.183.90.
MAILBOX NOT FOUND

پيغام قلابي آنتي ويروس:

*-*-* Mail_Scanner: No Virus
*-*-* <random name>- Anti_Virus Service
*-*-* [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>
(See attached file: <random filename>.zip)

متن پيغام1:

Diese E-Mail wurde automatisch generiert.
Mehr Informationen erhalten Sie unter [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

Folgende Fehler wurden aufgezeichnet:
<random ip><random error message1>
# <random number>: <randomly choosen error message2>

STOP mailer

The original mail is attached.

Auto_Mail.System: [<random name>]

<possible fake anti-virus

پيغام احتمالي خطا1:

Remote_host_said: _Requested_action_not_taken
_delivery_error

پيغام احتمالي خطا2:

mailbox_unavailable3oes not like

پيغام قلابي آنتي ويروس:

Anti_Virus: Es wurde kein Virus gefunden
Anti_Virus Service

متن پيغام2:

Da Sie uns Ihre Persoenlichen Daten sugesandt haben ist das Password
Ihr Geburts-Datum Viel Vergnuegen mit unserem Angebot!

*****

Im I-Net unter: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] URL>

متن پيغام 3:

Aus Datenshutzrechtlichen Gruenden darf die vollstaendige E-Mail incl. Daten
nur angehaengt werden

da unsere Datenbank leider durch einen Programm Fehler zerstoert wurde,
mussten wir leider eine Aenderung bezueglich Ihrer Nutzungs-Daten vornehmen.
Ihre geanderten Account Daten befinden sich im beigefuegten Dokument.

Weitere Informationen befinden sich im Anhang dieser Mail.

فايل ارسالي ممكن است از پسوند هاي زير انتخاب شود:

ZIP, PIF, SCR, BAT, COM.

هـــك ، آخرين ابزار رقابت


همكاران : فرض كنيد شركت رقيب شما يك ابزار بر پايه وب بسيار قوي دارد كه بسياري از مشتري هاي شما از آن استفاده مي كنند. شما در جواب آن چه مي كنيد ؟
1- آن تجارت را فراموش مي كنيد و به دنبار حرفه ديگري مي گرديد ؟
2-يك تيم حرفه اي تشكيل مي دهيد و يك ابزار بهتر از شركت رقيب درست مي كنيد ؟
3- به سايت رقيب خود نفوذ مي كنيد و كد هاي آنها را مي دزديد ؟ يا در حالت بهتر برخي از كارمندان آن را مجاب مي كنيد كه يك وب سايت هم براي شما به همان صورت بسازند ؟

تبريك مي گويم ، به دنياي هك كردن رقبا خوش آمديد!

در 15 اكتبر 2004 طبق فرجامي در دادگاه از ايالات متحده ،در نهين جلسه آن ،قاضي بايد به شكايت دو شركت رسيدگي مي كرد. اين شركت ها در زمينه خدمات به رانندگان كاميون فعاليت مي كردند. يكي از شركت ها ، Creative Computing ، در قالب يك سايت موفق راه اندازي شده بود ، Truckstop.com ، كه رانندگان كاميون را از طريق اينترنت با بار ها ارتباط مي داد. در جاي ديگري از اين دنيا يك شركت ديگري ، Getloaded.com ، تشكيل شد ، براي رقابت با شركت فوق ، اما نه به صورت درست و صادقانه !

Getloaded.com تلاشهاي فراواني را در جهت به دست آوردن اطلاعات از سايت Truckstop.com انجام داد. در ابتدا آنها ليستي از بارها و رانندگاني كه اصلا با هم تطابق نداشتند را تهيه كردند. هنگامي كه Truckstop در سايت خود شروع به گرفتن نام كاربري و پسورد كردند ، Getloaded نيز همين كار را كرد. در نتيجه ، رانندگان كاميوني كه در هر دو سايت عضو بودند ، يك نام كاربري و يك پسورد در هر دو سايت ايجاد مي كردند. در نتيجه اعضاي Getloaded با نام كاربري و پسورد اين دسته از رانندگان به سايت Truckstop رفته و اطلاعات آنها را براي خود ثبت مي كردند.

بنابراين آنها در قالب شركتهاي مرده ! خود را در سايت فوق ثبت مي كردند تا اطلاعات آنها را به دست بياورند.

اما هنوز كار به اينجا ختم نشده بود ، طبق گفته دادگاه ، كاركنان Getloaded همچنين به وب سايت اين شركت نفوذ كردند ، سرور اين وب سايت داراي يك مشكل امنيتي بود ، مايكروسافت براي اين مشكل يك اصلاحيه منتشر كرده بود ولي مديران بخش شبكه هنوز اين اصلاحيه را نصب نكرده بودند. رييس و نايب رييس شركت Getloaded با استفاده از اين آسيب پذيري توانستند به سرور هاي سايت Truckstop نفوذ كنند.

صداي آشنا ؟

همين مورد نشان مي دهد كه ممكن است نتيجه اينگونه خرابي ها چه مقدار باشد. به صورت فزاينده اي شركت هاي رقيب به دنبال اطلاعات محرمانه و قابل استفاده از سايتهاي تحت وب و پايگاههاي داده مي باشند و يا با استفاده از آسيب پذيري ها موجود در پايگاه داده ، يك دسترسي بدون مجوز با آن برقرار مي كنند و داده هاي حساس و مهم تجاري شركت رقيب را به سرقت مي برند.

بعضي مسايل هم غير قابل اجتناب مي باشد : براي رانندگاني كه بايد به سايت دسترسي داشته باشند لازم است كه به بعضي از اطلاعات سايت دسترسي داشته باشند. حق دسترسي براي اينگونه موارد ، استفاده از نام كاربري و پسورد مي باشد تا حق دسترسي افراد مشخص شود. كاربران معمولا از يك نام كاربري و يك پسورد استفاده مي كنند و همين امر باعث مي شود كه برخي از كساني كه به اين نام كاربري ها دسترس دارند با سوءاستفاده از آنها ، به اطلاعات مهم و حياتي شركت هاي رقيب دسترسي داشته باشند.

جاسوسي اقتصادي

به اين مشكلات مي توان در دو دسته تكنيكي و قانوني پاسخ داد. از ديدگاه تكنيكي ، شركت هاي تجاري بايد قوانين و تكنولوژي هاي بهتري را براي حق دسترسي كاربران و مشتري هاي خود در وب سايت خود ايجاد كنند. اگر شما مشاهده كرديد كه تلاش هاي فراواني براي دسترسي به سايت شما از يك رنج IP مشخص (كه شبيه آدرس هاي رقيب شما مي باشد ) وجود داشته است كه اكثر آنها با شكست مواجهه شده اند بدانيد كه يك اتفاق بدي در حال وقوع است.

نصب IDS ، مشاهده روزانه فايل هاي ثبت وقايع ( Log ) و البته مديريت نصب اصلاحيه ها جزو موارد ثابتي مي باشد كه يك وب سايت براي امنيت خود بدانها نياز دارد.

فقط كافي نيست كه شما اصلاحيه ها را نصب كنيد ، بايد نرم افزارهايي را استفاده كنيد كه در هنگام بروز برخي تغييرات ، كشف آسيب پذيري جديد ، باز شدن يك پورت در سرور و همچنين تاييد و تصديق نصب اصلاحيه ها ، شما را باخبر كنند.

از نظر حقوقي وقفه ايجاد كردن و سنگ انداختن در كار رقبا از راههاي غير قانوني جرم محسوب مي شود. شما مطمئنا نياز داريد كه يك مكان عمومي براي امور كاري خود داشته باشيد ولي از طرفي هم بايد ضوابط مشخصي را براي اين مكان در نظر بگيريد تا هر كسي به هر چيزي دسترسي نداشته باشد.

بنابراين اولين چيزي كه بايد براي دفاع از وب سايت عمومي خود ايجاد كنيد ، قرار دادن يك سري شرايط و ضوابط ست كه از داده هاي سايت شما محافظت مي كند تا بدين وسيله از داده هاي سايت شما عليه شما استفاده نكنند. مثلا از بينندگان سايت همان ابتداي ورود ضمانت بگيريد كه از داده هاي سايت شما استفاده تجاري نكنند يا از مهندسي معكوس براي نرم افزار هاي شما خودداري كنند و يا هر چيز ديگري شبيه اين موارد كه شما نياز داريد كه آنها را ممنوع اعلان كنيد.
واقعا بايد گفت كه اين موضوعات ، معضلاتي مي باشد كه در آينده گريبانگير صنايع IT خواهد شد و موضوعاتي است كه دادگاههاي قضايي در آينده اي نه چندان دور با آن برخورد مي كنند.
مشكلاتي كه ممكن است سايتهاي تجاري وب با آن برخورد كنند. اثبات اين موضوع بر عهده دادگاه مي باشد كه نشان دهد كاربران سايت شما از قوانين سايت سرپيچي كرده اند يا خير اما در اينگونه موارد بهتر است كه قوانين دلخواه خود را در همان ابتدا كه كاربران در حال درست كردن نام كاربري و رمز عبور هستند از آنها تاييد بگيريد. تا با زير پا گذاشتن اين قوانين دست شما براي شكايت از آنها و اثبات موارد خلاف باز باشد.

دومين ويروس كارت كريسمس به كاربران حمله كرد

نويسندگان ويروس ، امروز ويروس را از طريق ايميل منتشر كردند كه حاوي يك كارت كريسمس بوده است.
شركت هاي ضد ويروس ، ويروسي ديگر را كشف كردند كه از طريق ايميل خودش را منتشر مي كند.


طبق گفته شركت آنتي ويروس F-Secure ، كرم Attack-H كه از طريق ايميل خودش را منتشر مي كند ، حاوي يك كارت كريسمس مي باشد تا بدين وسيله كاربران را قانع كند كه ميل حاوي ويروس را باز كنند.


به گفته مدير بخش امنيتي F-Secure ايمن گونه ايميل ها داراي خطرهاي متفاوتي مي باشند در اصل بايد گفت كه هيچ خطري در ديدن اين كارت كريسمس وجود ندارد و خطر در جايي است كه كاربران فايل هاي الحاقي به اينگونه ايميل ها را باز مي كنند.


اين كرم همچون كرم Zafi عمل مي كند و خودش را به تمامي ايميل هايي كه در كتابچه آدرس كاربران وجود دارد ارسال مي كند.اما بر خلاف چند زبان بودن كرم Zafi ، اين كرم فقط خودش را به زبان انگليسي به ديگران ارسال مي كند.


اين كرم حاوي يك تروجان نيز مي باشد. اين تروجان ها اغلب براي دادن دستوراتي از راه دور روي سيستم هاي آلوده استفاده مي شوند.

رکورد جدید ویروسهای رایانه ای در ژاپن اعلام شد

موسسه Trend Micro در گزارشی شمار ویروسهای رایانه ای منتشر شده در سال 2004 در ژاپن را،63 هزار و 657 هزار اعلام کرد.

موسسه Trend Micro یک موسسه رسمی ژاپنی و بانی حفظ آمار های اینترنتی اعلام کرده است که رکورد سابق ویروسهای اینترنتی 47 هزار و 607 مورد بوده است ، در حالیکه این شمار در سال جاری 63 هزار و 657 مورد است.

موسسه Trend بنا بر گزارشهای سازندگان نرم افزارهای ضد ویروس شمار ویروسهای رایانه ای را به طور سالیانه با کمک آماری که مقامات رسمی امنیتی در ژاپن اعلام می کنند را بسیار مستدل بیان می کنند.

این موسسه اعلام کرده است که شمار ویروسهای کشف شده در سال 2004 نسبت به سالهای گذشته بسیار زیاد بوده است.

یک اسب تراوا ، جديدترين نسخه‌ي ويندوز XP را تهديد مي‌كند .


تهيه كنندگان برنامه‌هاي مخرب آنلاين، اسب تراوايي عرضه كرده‌اند كه مي‌تواند كامپيوترهاي اجرا كننده‌ي ويندوز XP مايكروسافت را آلوده ساخته و برنامه‌هايي را براي كنترل سيستم‌هاي قرباني از راه دور، نصب و راه اندازي كند.
اين برنامه كه Phel نام داشته و يكي از مشتقات كلمه‌ي Help است، بازديدكنندگان از وب سايت‌هاي ساختگي مخرب را از طريق كنترل‌هاي Help مرورگر Internet Explorer، آلوده مي‌سازد. باگي كه در اين برنامه‌ي مخرب وجود دارد ممكن است آن را از آلوده كردن برخي از كامپيوترها باز دارد.

اين اسب تراوا، آسيب پذيري كشف شده در ماه اكتبر را كه در فايل‌هاي راهنماي Internet Explorer و سرويس پك دو ويندوز XP وجود دارد، مورد هدف و حمله‌ي خود قرار مي‌دهد.
اين نقص با نقص اخير يافت شده در فايل‌هاي راهنما توسط شركت امنيتي چيني ارتباطي ندارد. مايكروسافت به جديت و شدت در حال تلاش براي تجزيه و تحليل اين آسيب پذيري در Phel است تا بدين طريق مسئولان اين فعاليت مخرب را شناسايي كرده و از راه قانوني با آن‌ها برخورد كند.

هنوز patch اي براي نقص يافت شده در ماه اكتبر از سوي مايكروسافت ارايه نشده است. اما اين شركت اعلام كرده است كه برنامه نويسان مايكروسافت در حال كار كردن بر روي اين مسئله هستند.
مايكروسافت اين آسيب پذيري را بسيار جدي و خطرناك دانسته و در حال توليد برنامه‌ي روزآمد ساز براي برطرف كردن آن است.
مايكروسافت با مشكلات قابل توجهي براي ايمن كردن مرورگر خود در سال 2004 مواجه بوده است. به عنوان نتيجه، مرورگر open-source و قابل دانلود به صورت رايگان فاير فاكس، مقداري از سهم بازار را به دست آورده است.
متخصصان امنيت و نيز برخي از مدارس به كاربران كامپيوتر و دانش آموزان توصيه كرده‌اند كه از مرورگرهاي ديگري كه متعلق مايكروسافت نسيتند، استفاده كنند.


كرم ضد Santy در حال تكاپو است

يك كرم ضد Santy كه از موتورهاي جست‌وجو براي گسترش ميان بولتين‌هاي (bulletin) خبري آنلاين استفاده مي‌كنند، شناسايي شده است.

F-Secure گفته است كه از وجود هفت سايتي كه توسط اين كرم آلوده شده‌اند، آگاهي يافته است. در ابتدا به نظر مي‌رسد كه اين كرم براي مبارزه با كرم Santy طراحي شده است. كرم ضد Santy، به جست‌وجوي گوگل مي‌پردازد تا بدين ترتيب سايت‌هايي را بيابند كه از نرم‌افزار بولتين خبري php استفاده مي‌كنند و توسط كرم قبلي آلوده گشته‌اند. كرم ضد Santy سپس سايت‌هاي ياد شده را آلوده كرده و تلاش مي‌كند آن‌ها را با نصب يك patch ايمن‌تر سازد.

Mikko Hypponen، مدير شركت ضد ويروس F-Secure گفته است كه اگرچه اين كرم به نظر سودمند مي‌رسد، در واقع احتمال آن وجود دارد كه مشكلاتي را براي سرپرستاني ايجاد كند كه مسئوليت كنترل ترافيك‌هاي رو به افزايش را دارند.

وي گفته است چنانچه سايتي آلوده شود، اين كرم موجب ايجاد ترافيك‌هايي سنگين و كاهش عملكرد و سرعت سايت مي‌گردد. سايت‌هايي كه توسط كرم ضد Santy مورد حمله واقع شده‌اند، با جملاتي نظير viewtopic.php، ايمن شده توسط كرم V4 ضد Santy مواجه شده‌اند. در ادامه‌ي اين جملات گفته شده است كه سايت شما كمي ايمن‌تر گشته، اما مي‌بايد سايت خود را به نسخه‌ي >=2.0.11 ارتقا دهيد.

Hypponen گفته است كه دو نسخه از صفحات مورد حمله واقع شده را مشاهده كرده است. كرم ضد Santy دو هفته پيش از كريسمس آشكار گشته و تا تاريخ 21 دسامبر در بيش از 40،000 وب سايت منتشر شده است.

روز 22 دسامبر، گوگل قسمت‌هاي آلوده شده توسط كرم را مسدود كرده تا بدين طريق از گسترش بيشتر اين كرم جلوگيري كند. اما چندين روز پس از اين اقدام گوگل، كاشف به عمل آمده است كه اين كرم مشغول استفاده از موتورهاي جست‌وجوي سايت‌هاي آمريكا آنلاين و ياهو است و همچنان گوگل را مورد هدف قرار داده است.


Symantec نقايص بسيار خطرناك را patch مي‌كند

شركت Symantec برنامه‌هايي را براي بر طرف ساختن سه حفره‌ي امنيتي بسيار خطرناك در ابزارهاي ديوار آتش Nexland خود ارايه داده است.


اين نقص‌هاي يافت شده مي‌توانند كاربران را در معرض خطر دست كاري شدن داده‌ها و حملات باز دارنده‌ي سرويس قرار دهند. Secunia اين آسيب پذيري‌ها را از نظر ميزان خطرناك بودن، در دسته‌ي آسيب پذيري‌هاي بسيار خطرناك قرار داده است.

Symantec اين مطلب را تأييد كرده است كه آسيب پذيري‌هاي ياد شده، در مدل‌هاي Symantec Firewall/VPN Appliance 100، 200 و 200R شناسايي گشته است. Symantec Gateway Security 320، 360 و 360R تنها در برابر دو مورد از نقايص يافت شده، آسيب پذير هستند.

تمامي اين آسيب پذيري‌ها از راه دور قابل به كار گيري بوده و مي‌توانند به حمله كنندگان امكان دهند تا حملات باز دارنده‌ي سرويس را در مقابل ابزارهاي ديوار آتش به كار گيرند، سرويس‌هاي فعال در رابط WAN را شناسايي كرده و از يكي از اين سرويس‌ها براي جمع آوري و تغيير و دگرگوني پيكربندي ديوار آتش استفاده كنند.

اين حفره‌هاي امنيتي كه توسط شركت خدمات امنيتي و مشاوره‌ايRigel Kent (Rigel Kent Security & Advisory Services) كشف شده است، Nexland ISB SOHO، Pro100، Pro400، Pro800، Pro800turbo و ابزارهاي ديوار آتش Nexland WaveBase را نيز تحت تأثير قرار مي‌دهد.


مدل‌هاي 320، 360 و 360R از Symantec Gateway Security در مقابل حملات بازدارنده‌ي سرويس، آسيب پذير نيستند، اما مشخص شده است كه در برابر دو نقص موجود ديگر آسيب پذير هستند.

Symantec مشتريان را بر آن داشته است تا هرچه سريع‌تر به نرم‌افزارهاي ساخت شركت با عنوان 1.63 براي مدل‌هاي 100، 200 و 200R ابزار VPN و ديوار آتش Symantec ارتقا يابند.

اين شركت همچنين نرم‌افزار 16U را ابزارهاي ديوار آتش Nexland ارايه داده است. ابزارهاي اين ديوار آتش كه Symantec سال گذشته آن‌ها را كسب كرده، در شعب گوناگون شركت و دفاتر كاري خانگي مورد استفاده قرار مي‌گيرد

"DownLoader.GK" گسترش يافته ترين نرم افزار مخرب سال ۲۰۰۴

شرکت توليدکننده نرم افزارهاى ضد ويروس "پاندا"، از ميان تمامى ويروسها و برنامه هاى مخرب منتشر شده در اينترنت در سال ۲۰۰۴ ، برنامه اسب تراواى "DownLoader.GK" را به عنوان گسترش يافته ترين نمونه سال برگزيد.

به گزارش بخش خبر تراشه از ايرنا، اين برنامه مخرب، رايانه کاربرانى را که از وب سايتهاى آلوده به "DownLoader.GK"ديدن ميکردند، مورد حمله قرار ميداده است .

"خاوير مرکان " سخنگوى شرکت "پاندا" اعلام کرد که اين شرکت يک نرم افزار ضد ويروس رايگان را در سايت اينترنتى خود ارائه کرده و از نتايج حاصل شده از استفاده همين نرم افزار توسط کاربران ، براى گزينش مخربترين ويروسهاى سال استفاده کرده است .

شرکت "پاندا" اعلام کرد ۱۴ درصد از کل گزارشهاى مربوط به شناسايى نرم افزارهاى مخرب صورت گرفته توسط محصولات اين شرکت در سال ۲۰۰۴، به اسب تراواى "DownLoader.GK" مربوط بوده است که اين ميزان ۲ برابر بيشتر از هر ويروس ديگرى در سال گذشته ميلادى است .

هنگامى که کاربران از وب سايتهاى آلوده به "دانلودر.جيکى" بازديد ميکنند، يک اپليکيشن از نوع "اکتيو.ايکس" روى رايانه آنها نصب ميشود و اين امر به نصب نرم افزارهاى مزاحم موسوم به "اسپايور" در همان رايانه منجر ميشود.

سال ۲۰۰۴ نخستين سالى است که يک نرم افزار اسب تراوا بر صدر فهرست نرم افزارهاى مخرب و ويروسهاى رايانه اى برگزيده سال اين شرکت جاى ميگيرد و به علاوه در فهرست ۱۰ موردى اين شرکت،۴مورد به نرم افزارهاى اسب تراوا مربوط ميشوند.

نرم افزارهاى اسب تراوا، به آن دسته از کدهاى مخرب گفته ميشود که برخلاف ويروسها و کرمهاى اينترنتى، به خودى خود تکثير نميشوند.

در زير فهرست ۱۰ ويروس و اسب تراوايى که از ديد مسوولان شرکت "پاندا" بيشترين مورد گزارش را داشته اند به همراه درصد گسترش هرکدام آورده شده است:

دانلودر.جيکى(Downloader.GK) معادل ۱۴ درصد

نت اسکاي.پى(Netsky.p) معادل 6.92 درصد

ساسر.اف تيپى(Sasser.ftp) معادل 4.97 درصد

گااوبات .جيييان "(Gaobot.gen) معادل 4.31 درصد

ام اچ تردير.جيييان (Mhtredir.gen) معادل 22.4 درصد

نت اسکاي.دى (Netsky.D) معادل 3.98 درصد

دانلودر.ال(Downloader.L) معادل 3.56 درصد

کيوهوست .جيييان (Qhost.gen) معادل 3.48 درصد

نت اسکاي.بى(Netsky.B) معادل 3.45 درصد

استارت پيج .اچ (StartPage.H) معادل 3.34 درصد

در این تاپیک فقط و فقط اخبار ویروس ها جدید داده میشود ! فکر کنم که تاپیک خوب و مفیدی باشه !

با 10 ویروس برتر ماه فوریه آشنا شوید

شرکت امنیتی sophos مطابق روال همه ماهه خود فهرست 10 ویروس برتر اینترنتی را که بیشترین مشکلات را در جهان مجازی ایجاد کرده‌اند، منتشر کرد.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران ، از خبرگزاری سلام، از مهمترین نکات فهرست جدید ظهور یک تروجان جدید موسوم به Clagger-G است که هم از طریق هرزنامه‌ها و هم با استفاده از ضعف‌های نرم‌افزاری منتقل می‌شود و با هدف سرعت کلمات عبور کاربران طراحی شده است.
ویروس Nyxem-D یا Kama satra هم از رتبه چهارم به رتبه دوم صعود کرده است، اما صدور فهرست کماکان در اختیار Netsky است.
بر طبق اعلام sophos هم‌اکنون از هر 90 email ارسال شده در جهان یکی ویروسی است.
فهرست 7 ویروس برتر فهرست sophos به شرح زیر است: Netsky-p با 9/13 درصد، Nyxem-D با 3/9 درصد، Bagle-zip با 8/8 درصد، zafi با 4/8 درصد، My tob-D با 0/6 درصد، My tob-EX با 7/3 درصد و Bagle-CH با 7/12 درصد.

با استفاده از يك نرم افزار جديد، كشف ويروس‌هاي رايانه‌يي ناشناخته امكان پذير مي‌شود

تام ليزموس، دانشجوي مقطع دكتري الكترونيك و كامپيوتر، اولين كسي است در جهان كه نرم افزاراي را طراحي كرده است كه قادر است حملات ويروس رايانه‌يي ناشناس را كشف كند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ایسنا، تام ليزموس مي‌گويد: مشكل اصلي نرم افزارهاي ضد ويروسي فعلي اين است كه نرم افزار‌ها از رايانه تنها در برابر ويروس‌هاي شناخته شده حمايت مي‌كنند و درمقابل ويروس‌هاي ناشناس كاري از پيش نخواهند برد.

تعداد قابل ملاحظه‌اي ويروس رايانه‌يي وجود دارد، بعضي از اين ويروس‌ها براي فعال شدن و آلوده ساختن سيستم، نيازمند دخالت و لمس خود از سوي كاربر هستند، مانند آن دسته از هرزنامه‌هايي كه از طريق پست الكتروني ارسال مي‌شوند لازمه‌ي شروع حمله‌ي آن‌ها باز كردن پست الكترونيك از سوي كاربر است.

ويروس‌هاي ديگري هستند كه موزيانه‌تر عمل مي‌كنند و بدون آن كه كاربر متوجه يك اشتباه كوچك خود شود، به نرم افزار‌ها حمله كرده و كنترل رايانه را در اختيار خود مي‌گيرد، براي مثال تمامي‌document‌ها را حذف مي‌كند.

وي مي‌گويد: دليل اين كه چگونه چنين حملات مخربي به راحتي كاربران را تحت الشعاع قرار مي‌دهد اين است كه بسياري از برنامه‌هاي رايانه‌يي به صورت نادرست برنامه نويسي شده است و رايج ترين اشتباه برنامه نويسي به Buffer Orerflow معروف است .

اين اشكالات برنامه نويسي از سوي برنامه نويسان نرم افزار‌هاي آنتي ويروس نيز تكرار مي‌شود، اما چنين اشتباهات برنامه نويسي در ميان تمام برنامه نويساني كه در C يكي از رايج ترين زبان‌هاي برنامه نويسي، مي‌نويسند متداول است .

گشايشگر وب اينترنت الكسپلورر نمونه‌ي يكي از اين موارد است، اشتباهات برنامه نويسي در سيستم IP-technology شركت Skype و نرم افزار پايگاه د اده‌هاي مايكروسافت، موسوم به سرور SQL، به خوبي مشهود است .

وي مي‌گويد: برنامه‌هاي رايانه‌يي در سال 2003 داراي مشكلات فراواني بودند و اشتباهات فاحشي در آن‌ها به چشم مي‌خورد .

در آن زمان بود كه ويروس‌ها به طور خودكار كنترل سرورهاي پايگاه داده‌هاي بسياري از رايانه‌ها را در دست گرفتند .

سرعت زياد رايانه‌ها باعث شد تا ويروس‌ها اين فرصت را داشته باشند تا با سرعت زيادي منتشر شوند .

اگرچه ويروس‌ها آن چنان مخرب نبودند اما،در سرعت اينترنت تاثير منفي داشتند. در آن سال بسياري از سيستم‌هاي سراسر جهان آلوده به ويروس‌هاي مختلف شدند و حتي عمليات‌هاي اينترنتي بانك‌ها نيز دچار اختلال شد.

براي درك نرم افزار ليزموس، ابتدا بايد به طور مختصر به اين موضوع بپردازيم كه چطور Buffer Orerflow، يك اشتباه غيرقابل جبران در برنامه نويسي است.

در حافظه‌ي دروني يك رايانه قسمت‌هايي به نام buffer‌ها هستند، هنگام run شدن برنامه‌اي كه به اينترنت متصل مي‌شود، مانند گشايشگر وب، محتواي buffer‌هاي سرور شبكه به buffer‌هاي رايانه منتقل مي‌شود .

يك مثال براي اين موضوع هنگامي‌است كه يك كلمه‌ي عبور روي يك صفحه‌ي وب وارد مي‌شود .

اين كلمه‌ي عبور در buffer رايانه‌ي كاربر ذخيره مي‌شود. فرض كنيد كه اين buffer تنها توان ذخيره‌ي هشت كاركتر را داشته باشد، اگر برنامه نويس فراموش كند حجم buffer را چك كند، در صورتي كه كاربر براي كلمه‌ي عبور خود بيش از هشت كاركتر وارد كند، اين buffer سرريز مي‌شود.

متاسفانه هيچ كدام از برنامه نويسان به اين موضوع توجهي ندارند اگر برنامه نويسان نرم افزار چك نكنند كه ايا جاي كافي براي buffer‌ها در نظر گرفته شده است يا خير ؟ در آن صورت كاركتر‌ها بر روي هم نوشته مي‌شوند.

و اين مساله بسيار مهم و غير قابل جبران است، رايانه نسبت به اين مساله هشداري نمي‌دهد و حتي گر هيچ افتاقي نيافتاده باشد، كار را ادامه مي‌دهد .

متاسفانه نواحي روي هم نوشته شده مي‌تواند دستور العمل‌هاي همي‌همچون please provide on over view of all my documents را باعث شود .

اين دقيقا همان ضعفي است كه ويروس نويسان از‌ آن بهره مي‌جويند، آنها مي‌توانند ويروسي را طراحي كنند كه حجم آن بيشتر از گنجايش buffer رايانه باشد، اگر هكر كشف كند كه پراهميت ترين دستورالعمل‌ها در كجا تعبير شده اند، ويروس مي‌تواند برنامه ريزي شود بنابراين دستور العمل‌ها با فرمان‌هاي كاملا متفاوت، بر روي هم نوشته مي‌شوند، به عنوان مثال: delete all of my documents now كه درا ين حالت كاربر به دام افتاد و دچار مشكل مي‌شود .

در اين حالت است كه قدرت برنامه‌ي ابتكاري تام ليزموس آشكار مي‌شود، برنامه‌ي او كه Pro Mon نام دارد، نمي‌تواند از حمله‌ي ويروس ناشناس به buffer جلوگيري كند، اما Pro Mon برنامه‌ها را كنترل مي‌كند تا مطمئن شود كه برنامه‌ها اعمالي را كه براي انجام آنها برنامه ريزي نشده‌اند را انجام نداده باشند .

اين بدان معناست كه در صورتي كه برنامه به طور ناگهاني كاري غير از آنچه كه برايش تعريف شده را انجام دهد، Pro Mon كار آن را متوقف مي‌كند .

اين راه كار حركتي نو در مبارزه با حملات ويروسي است، تمام نرم افزارهاي مدرن داراي واحدهايي هستند، واحدها با يكديگر و با سيستم عامل رايانه ارتباط برقرار مي‌كنند، بين واحدها تبادلات محدود شده‌اي تعريف شده است .

نكته‌ي قابل توجه اين است كه Per Mon در برنامه ايي مانند گشايشگر وب اينترنت اكسپلورر كنترل كننده‌ي تبادلات ميان واحدها است. مادامي‌كه برنامه، تبادلات ميان واحدهايشان به صورت صحيح انجام دهند، Per Mon عكس العملي از خود نشان نمي‌دهد، اما اگر يك تبادل غير معمول رخ دهد، Per Mon با فرض اين كه ويروسي حمله كرده است، برنامه را متوقف مي‌كند.

تام ليزموس تاكيد كرد كه نرم افزارش مي‌تواند هر برنامه را كنترل كند.البته‌ي برنامه‌هاي مشابه ديگري نيز در بازار موجود است اما آزمايشاتي كه تام ليزموس انجام داده نشان مي‌دهد كه برنامه‌ي او 30 برابر سريعتر از برنامه‌ي رقيب وي يعني "موسسه فناوري ماساچوست " است .

طراحي كندوهاي عسل براي جذب ويروس‌‏ها

محققان اميدوارند با طراحي شبكه‌‏هاي جذب ويروس از گسترش كدهاي مخرب در شبكه جلوگيري كند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايلنا، محققان در تل‌‏آويو ، روش جديدي را براي رهايي از ويروس‌‏هاي اينترنتي با استفاده از يك شبكه از سيستم‌‏هاي خودكار پاك سازي ويروس ابداع كرده‌‏اند.
اين طرح برپايه يك شبكه معروف به كندوهاي عسل استوار است كه مشابهه رايانه‌‏هاي وصله نشده طراحي شده‌‏اند.
اين رايانه‌‏ها ويروس‌‏ها را جذب مي‌‏كنند و با ثبت فايل مشخصات ويروس بلافاصله ضد آن را در شبكه پخش مي‌‏كنند، ديگر رايانه‌‏هاي موجود در شبكه نيز به طور خودكار فعال مي شوند و به طور هم‌‏زمان اقدامات مقابله‌‏اي را آغاز مي‌‏كنند.
به گفته محققان ؛ هزينه ايجاد اين شبكه‌‏ها پايين است و به راحتي مي‌‏توان با گسترش شبكه كارآيي آن را تا حد زيادي بالا ببرد.
بنابر ادعاي اين محققان ؛ ضدويروس ارايه شده از سوي سيستم‌‏هاي معروف به كندوي عسل ، سريع‌‏تر از خود ويروس پخش مي‌‏شود.

درخواستی استیکی شدن تاپیک !!!

يك زوج اسرائيلي به دليل انتشار كرم اينترنتي دستگير شدند

يك زوج اسرائيلي به جرم ايجاد و انتشار اسب هاي تروا در اينترنت به زندان افتادند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از خبرگزاری موج ، اين دو نفر با ساخت اين كرم ها اقدام به جاسوسي از رايانه هاي كاربران مي كردند .
شوهر اين زن به جرم ساخت اين كرم رايانه اي و همسرش به جرم شراكت در اين عمل هر دو به زندان افتاده اند .
گفتني است اين كرم از سال 2004 تا كنون به جاسوسي در رايانه هاي كاربران مشغول بوده است .

ويروس كش مك آفي اكسل را كشت

برنامه ضد ويروس مك آفي كه از آن به عنوان يكي از قوي‌‏ترين برنامه‌‏هاي شناسايي ويروس نام برده مي‌‏شود در اشتباهي نادر روز جمعه براي مدت كوتاهي دو فايل معروف برنامه Microsoft Office يعني Excel.exe و Graph.exe را به عنوان ويروس شناسايي نمود.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از ايلنا، ديگر فايل معروفي كه به اشتباه شناسايي شد ، فايل Adobe Update Manager.exe بود كه براي به روز كردن برنامه Adobe به كار مي‌‏رود .

اشتباه در برنامه‌‏نويسي برنامه و شناسايي ويروس W95/ctx به همراه فايل‌‏هاي مذكور دليل اصلي خطا در برنامه ذكر شده است.
چنين اشتباهاتي در برنامه‌‏هاي امنيتي اصطلاحا False Positive ناميده مي‌‏شود كه غيرقابل اجتناب است ، در سه ماه گذشته اين اولين خطا از اين دست در برنامه‌‏هاي مك آفي است.

با استفاده از يك ويروس جديد؛
هكرها حركت‌هاي موس را شناسايي مي‌كنند
خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات


هكرهاي سيستم‌هاي كامپيوتري با استفاده از يك ويروس جديد توانسته‌اند شيوه‌ي جديدي را براي ضبط حركت‌هاي "موس" پيدا كنند.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، هكرها تاكنون هزاران ويروس طراحي كرده‌اند كه اطلاعات كاربران مانند رمزورودي حساب‌هاي بانكي را هنگام وصل به شبكه‌ها شناسايي مي‌كنند.

اما تا به امروز چنين ويروس‌هايي قادر نبودند تا حركت موس را هنگام كار با سيستم‌ها شناسايي كنند. به كمك اين ويروس كه مدل جديدي از PWsteal.Bancon است، حركت‌هاي موس رديابي و شناسايي مي‌شوند و از صفحه وب حساب بانكي كاربر عكس گرفته مي‌شود و رمز ورودي و ديگر اطلاعات مهم نيز جمع‌آوري مي‌شوند.

اين ويروس براي هدف قرار دادن بانك‌هايي طراحي شده است كه از صفحه‌كليد براي ارتقا امنيت هنگام وصل شدن به حساب‌ها استفاده مي‌كنند. گفتني است، برنامه‌هاي آنتي ويروس متعددي براي مقابله با اين ويروس در حال طراحي است.

انتهاي

کشف دو اسب تراجان جدیدی که پسوردها و اطلاعات بانکی را سرقت می کنند

محققان موفق به کشف دو اسب تراجان جدید با ویژگی های مشخص شدندکه یکی از آنها پسوردهای یک بار مصرف را سرقت می کند و دیگری در قالب نرم افزار Rootkt مخفی می شود.

به گزارش بخش خبر شبکه [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]، شرکت های امنیتی این هفته موفق به کشف برنامه های مخربی شدند که به احتمال زیاد هکرها آنها را تولید کرده اند. این برنامه های مخرب شبیه یک نرم افزار بی ضرر عمل می کنند.
این هفته بانک های انگلیس، آلمان و اسپانیا هدف اسب تراجان Metafisher یا Spy-Agent و PWS قرار گرفتند. این اسب های تراجان بعد از آلوده کردن کامپیوتر منتظر می مانند تا کاربر از یک وب سایت قانونی بازدید کنند بعد از بازدید از وب سایت ،اسب تراجان کدهای HTML مخرب را وارد فیلدهای مخصوص می کند. و زمانیکه کاربر شماره معاملات و PIN های یک بار مصرف خود را وارد می کند اسب تراجان آن را سرقت می کند.
در نتیجه PIN های یک بار مصرف و شماره معاملات هرگز در وب سایت ثبت نمی شوند و همچنان معتبر باقی می مانند. مهاجمان احتمالا قصد دارند یا خود از این اطلاعات استفاده کنند و یا آنها را به دیگران بفروشند.
به گفته شرکت امنیتی سمانتیک مهاجمان با بهره برداری از نقص Windows Metafile نرم افزار اینترنت اکسپلورر سعی می کنند تا اسب های تراجان را جاسازی کنند. قربانی حتما باید از یک وب سایت جعلی بازدید کند تا سیستمش آلوده شود و مهاجمان نیز باید از ایمیل استفاده کنند تا کاربر را به این وب سایت ها راهنمایی کنند.

هنوز چند روزی از کشف و شناسایی اولین ویروس اختصاصی (ویروس Leap ) برای سیستم عامل شرکت Apple (Mac OS X) نگذشته بود که ویروس دوم با نام Inqtana ظهور کرد. این ویروس از یک نقطه ی ضعف قدیمی در فناوری Bluetooth سیستم عامل Mac OS X برای انتشار خود استفاده می کند. نقطه ی ضعف مورد نظر بیش از هشت ماه قبل بوسیله ی شرکت Apple توسط اصلاحیه ای ترمیم شده است. ویورس Inqtana به محض آلوده ساختن یک کامپیوتر، بدنبال تجهیزاتی که از فناوری Bluetooth استفاده می کند، گشته و در صورت یافتن، خود را به تجهیزات ارسال می کند. گرچه ویروس Inqtana تنها یک نمونه ویروس آزمایشگاهی است و خطری از این بابت کاربران را تهدید نمی کند ولی می تواند هشداری باشد به افرادی که سیستم Mac را بجای سیستم عامل ویندوز انتخاب کرده اند به تصور اینکه خطری سیستم عامل را تهدید نمی کند و ویروس ها و دیگر برنامه های مخرب فقط برای ویندوز هستند.
منبع: ماهنامه ی رایانه خبر- شماره ی 21- اسفند 84

گزارشهاي بدست آمده از سوي ويتنام حاكي از آن است ، نويسنده ويروس pretty girl دختر زيبا توسط شركت هاي امنيتي شناسايي شده است.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران، از خبرگزاری موج، در هفته جاري سازنده ويروس دختر زيبا، شناسايي شده است وي يك دختر 21 ساله ويتنامي مي باشد.اين ويروس به عنوان ويروسي كه با سرعت بسيار بالا انتشار مي يابد شناخته شده است.اين ويروس تا كنون 20 هزار رايانه شخصي را مورد حمله قرار داده است.
مسئولين امنيتي از اينكه نام اين دختر را به عموم اعلام كنند ابراز ناراضايتي كردند و هنوز از اينكه آيا وي بايد دستگير شود و چه جريمه اي داشته باشد ،مطمئن نيستند.اما مسئولين اعلام داشتند در صورتي كه ميزان خسارات وارده را بررسي كنند وي بايد به 7 سال حبس محكوم شود و نيز بايد مبلغ 100 ميليون دانگ ويتنامي (6 هزار و 300 دلار ) جريمه بپردازد.رييس سازمان جرايم رايانه اي اعلام داشت: اين اولين باريست كه ويروسي از سوي كاربران ويتنامي منتشر شده است.در صورتي كه جرم اين دختر ثابت شود وي ملزم به پرداخت جريمه خواهد بود و يا به حبس محكوم مي شود.در طول يك هفته ويروس pretty girl تقريبا 20 هزار رايانه شخصي را مورد حمله قرار داده است و براي اولين بار از سوي يك كاربر ياهو مسنجر منتشر شده است.

ده ويروس مخرب ماه آوریل معرفي شدند

zifi.B - اين ويروس را به‌عنوان مخرب‌ترين ويروس ماه مطرح ساخته است.
- Netsky-P با ‌٣/١٥ درصد

‌٣- Nyxem-D با ‌٩/٧ درصد

‌٤- NyDoom-AJ با ‌١/٤ درصد

‌٥- Mytob-EX با ‌٦/٣ درصد

‌٦- Clagger با ‌٤/٣ درصد

‌٧- Mytob-BE با ‌١/٣ درصد

‌٨- Netsky-D با سه درصد

‌٩- Mytob-FO با سه درصد

‌١٠- Mytob-z با ‌٨/٢ درصد

كاربران اينترنتي مواظب برنامه‌هاي جاسوسي جديد تروجان باشيد

بر اساس گزارش‌هاي اعلام شده اخيرا شركت‌هاي امنيتي از برنامه‌هاي جاسوسي تروجان خطرناك كه كاربران اينترنتي را تهديد مي‌كنند خبر دادند.

بر اساس گزارش سايت ايتاليايي ‪ ،kataweb‬اين برنامه‌هاي جاسوسي توانايي تحت نظر داشتن تمام فعاليت‌هاي اينترنتي كاربران را دارند.

بر اين اساس كارشناسان امنيتي اعلام كردند: كرم‌هاي رايانه‌اي جديدي با نام ‪ Win32/inject-h‬و ‪ Trojan.win32‬سيستم‌هاي كاربران اينترنتي را تهديد مي‌كند.

اين نوع كرم‌ها اطلاعات موجود در اين سيستم آلوده را منتشر مي‌كند و علاوه بر اين امر نقش برنامه‌هاي جاسوسي را نيز ايفا مي‌كند.

اين نوع كرم‌هاي خطرناك توانايي تحت كنترل درآوردن تمام فايل‌هاي موجود در هاردديسك رايانه كاربران را دارند.

نحوه فعاليت اين برنامه‌هاي جاسوسي بدين صورت است كه ابتدا يك كپي از خود را در پوشه اشتراكي سيستم‌هاي محلي قرار مي‌دهد بدين ترتيب ساير مشتركان از شبكه محلي نيز ناخواسته گرفتار اين كرم مخرب مي‌شوند.

اين كرم‌هاي رايانه‌اي جديد براي كاربراني كه به فعاليت‌هاي تجاري از طريق اينترنت مي‌پردازند خسارات جبران ناپذيري را وارد مي‌كند.

كارشناسان امنيتي سرعت انتشار اين كرم رايانه‌اي خطرناك را بسيار بالا دانستند.

سرعت پخش بالاي اين كرم خطرناك سبب شده تا فعاليت كارشناسان امنيتي را در زمينه برخورد و جلوگيري از عدم انتشار آن در رايانه‌هاي كاربران سخت تر كند.

اين كارشناسان از كاربران خواستند تا رايانه‌هاي خود را به نرم افزارهاي انتي ويروس مجهز كنند و از باز كردن ايميل‌هاي ناشناس پرهيز كنند.

ویروسی که فولدر می سازه رو چطور میشه از بین بردش ؟

ممنون خیلی جالب بود

يه ويروس افتاده تو كامژيوترم كه فولدر اپشن رو از بين برده وفايلهاي هيدنم از بين رفته ونشون نميده
با كاپسركاي هم ويروسكشي كردم ولي اين فولدر اپشن گم شده چيكارش كنم

کارشناسان امنیتی , نخستين ويروس رايانه‌اي كه مجموعه برنامه‌هاي "استارآفيس StarOffice‬))"را هدف قرار مي‌دهد شناسايي کردند.



به گزارش ICTIr.NET از ایرنا پژوهشگران شرکت ضد ویروس "كاسپرسكي" اعلام کرده اند که این ویروس را از نوع "macro virus" شناسای کرده اند و نگارنده اين ويروس قصد آسيب رساندن به رايانه‌ها و ربودن اطلاعات كاربران را نداشته و تنها خواهان اثبات آسيب‌پذير بودن نرم افزارهای "استارآفيس" بوده است.

مجموعه نرم‌افزاري "استار آفيس" يكي از مهمترين رقباي مجموعه‌نرم‌افزاري "آفيس" شركت مايكروسافت است كه توسط شركت "سان‌مايكروسيستمز" توليده شده‌است. اين مجموعه داراي يك نرم‌افزار از نوع "صفحه گسترده" نظير نرم‌افزار "اكسل" و يك نرم‌افزار واژه‌پرداز نظير نرم‌افزار "وورد" است كه قادرند فايل‌هاي نرم‌افزارهاي "اكسل" و "وورد" را نيز اجرا و يا ويرايش كنند.

ويروس جديد كه "استارداست"Starsust‬نام گرفته از ويژگي "ماكرو"ها براي اجراي خود استفاده مي‌كند. "ماكرو" به قابليتي براي اجراي خودكار برخي فعاليتها درون نرم‌افزارهايي كاربردي نظير "وورد" و "اكسل" گفته مي‌شود.

چنانچه يك كاربر فايل آلوده به ويروس "استارداست" را باز كند، تمامي فايل‌هاي نرم‌افزار واژه‌پرداز مجموعه "استارآفيس" با پسوند swx‬ و همچنين تمامي فايل‌هاي نرم‌افزار صفحه گسترده اين مجموعه با پسوند ‪ stw‬به همين ويروس آلوده مي‌شوند
سپس هنگامي كه كاربر هركدام از اين فايلهاي آلوده شده را باز كند، تصاوير غيراخلاقي كه از سرور ‪ tripod.com‬ دريافت شده‌اند، در صفحه نمايش رايانه كاربر ظاهر مي‌شوند.

كارشناسان عقيده دارند هرچند ويروس "استارداست" خطر جدي براي كاربران محسوب نشده و تنها اثباتي براي آسيب پذير بودن مجموعه "استارآفيس" است، اما هكرها مي‌توانند با تقويت كد اين ويروس، آن را به يك برنامه مخرب و خطرناك تبديل كنند كه كاربران نرم‌افزارهاي داراي كد باز را تهديد خواهد كرد.

این خبر منتقل میشه به قسمت خبرها .


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اسب تروای جدیدی كشف شده است كه كنترل كامپیوترهای آلوده را در شبكه های پیرتوپیر كه از file-sharing استفاده می كنند، به دست می گیرد. اسب تروای Erazer-A فولدرهای پیش فرضی را كه برای دریافت فایل های ام پی تری، ای وی آی، ام پگ، دبلیو ام وی، گیف، گرافیك و زیپ و فایل های ویدئو مورد استفاده قرار می گیرند، هدف قرار داده و اطلاعات موجود در آنها را پاك می كند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این فرض بر این اساس است كه این اسب تروا، تنها انواع معینی فایل را در دایركتوری های مخصوص دریافت فایل های ذكرشده توسط برنامه های پیرتوپیر پاك كرده(یكی از منابع اصلی و غیرتعمدی سرایت نرم افزار مضر) و تلاش می كند تا از فایل های آلوده محافظت نماید. همچنین برنامه كوشش می كند تا برای محافظت از خود و سایر برنامه های مخرب، برنامه های امنیتی را متوقف سازد. این اقدام نیز به منظور سرقت اطلاعات ظاهر می شود.
سوفوس كه نخستین بار این خبر را بین مشتریانش منتشر كرد، این اسب تروا را Vigilante عنوان داد و آن را در انواع بی نهایت كمیاب و مضری طبقه بندی كرد كه می تواند اثرات مخربی داشته باشد. گراهام كلولی از سوفوس درباره این تروجان گفت كه تروجان Erazer قابل مقایسه با یكی از فیلم های چارلز برانسون است كه قانون را در دستان خود می گیرد.
با این حال چنین كاری كاملا برای این اسب تروا ممكن می باشد تا ارزیابی ضعیف فایل های بی ضرر را پاك نماید. كلولی گفت: «فكر نمی كنم این اسب تروا با حسن نیت نوشته شده باشد، چون تلاش می كند امنیت را متوقف سازد.»

ايالات متحده‌ي آمريكا همچنان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود
در حال حاضر قاره‌ي آسيا بيش از هر قاره ديگري در جهان، توليد اسپم مي‌كند، اين در حالي است كه تا دو سال پيش، آمريكا به تنهايي نيمي‌ از اسپم‌هاي رايانه‌يي را به جهان ارسال مي‌كرد.

به گزارش آژانس خبری پرشین هک، براساس اين گزارش، كشورهاي آسيايي از ميان ‌12 كشور بزرگ توليدكننده‌ي اسپم در سه ماهه‌ي نخست سال ‌2006، منشاء ‌8/42 درصد از اسپم‌هاي جهان هستند، در حالي كه سهم آمريكاي شمالي ‌6/25 درصد و سهم اروپايي‌ها ‌25 درصد اعلام شده است.

اگرچه ايالات متحده‌ي آمريكا اكنون سهم ‌50 درصدي خود از نظر اسپم‌ها را به يك‌چهارم كاهش داده است، اما باز هم اين كشور به عنوان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود. بر اساس گزارش شركت امنيتي سوفوس، چين نيز با سرعت قابل توجهي براي كسب عنوان نخست در حال تعقيب آمريكا است و اين درحاليست كه آمريكايي‌ها با اتخاذ سياست‌هاي مناسب سعي در كاهش ميزان توليد اسپم دارند كه در اين زمينه موفق نيز بوده‌اند. دكتر جان هروسكا - از بنيانگذاران شركت سوفوس - گفت: اسپم ابزاري براي بازاريابي است و به دليل رشد اقتصادي آسيا، سرچشمه‌ي تعداد بيشتري از اسپم‌ها در اين قاره است. همچنين گراهام كلولي - مدير ارشد مشاوره‌ي فناوري سوفوس - اشاره كرد كه روزانه ويروس‌ها، وورم‌ها و اسب‌هاي تروجان جديدي طراحي مي‌شوند تا به كاربران بي‌گناه اينترنت حمله كرده و اطلاعات آن‌ها سرقت كنند، كاهش توليد اسپم در آمريكا نشان مي‌دهد كه آمريكايي‌ها بيش از قبل هشيار شده‌اند و به اهميت حفظ رايانه‌هاي خود در برابر حملات مرموز هكرها، پي برده‌اند.

وي افزود: آمار نشان مي‌دهد كه در حال حاضر از هر ‌40 پست الكترونيك ارسالي در سراسر جهان، يكي آلوده به ويروس است و ‌50 درصد از كل پست‌هاي الكترونيك اسپم هستند، در حقيقت اينترنت تبديل به يك شبكه‌ي آلوده شده است. گراهام در ادامه گفت: اگر كاربر با رايانه‌هايي كه به ويندوز xp مجهز است،‌ بدون هيچ نرم‌افزار يا بسته‌ي امنيتي، به اينترنت وصل شود و هيچ فعاليتي در اينترنت انجام ندهد، به احتمال ‌94 درصد، ظرف مدت ‌60 دقيقه و به احتمال ‌40 درصد، ظرف مدت ‌10 دقيقه آلوده خواهد شد. بازار اسپمرها، اكنون به سه ميليارد دلار رسيده است، با اين پول آن‌ها مي‌توانند فارغ از راهكارهاي آماتور، با ويروس‌ها و كدهاي مخرب حرفه‌يي تري، به كاربران حمله‌ور شوند.

هروسكا همچنين به كاربران رايانه پيشنهاد مي‌كند كه براي حفظ امنيت سيستم‌هاي خود در برابر حملات هكرها، حداقل سه عمل زير را به خوبي انجام دهند؛ مطمئن شوند كه نرم‌افزارهاي جديدي كه استفاده مي‌كنند، براي سيستم عامل به روز شده‌اند. حتما از يك فايروال استفاده كنند و از نرم‌افزار ضد ويروس و ضد اسپم استفاده كنند.

دبير نظام صنفي رايانه‌يي خراسان رضوي: استفاده از پسوندهاي ايراني باعث امنيت بيشتر كاربران مي‌شود
دبير سازمان نظام صنفي رايانه‌يي خراسان رضوي تاکيد کرد: استفاده از پسوندهاي ايراني باعث امنيت بيشتر کاربران در استفاده از سايت‌هاي اينترنتي مي‌شود.

به گزارش آژانس خبری پرشین هک از ایسنا محمود بنانژاد در گفت‌وگو با خبرنگار سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، درباره‌ي استفاده از پسوندهاي ir، گفت: اين پسوندها به اين علت كه در داخل ايران ثبت مي‌شوند، امكان دخل و تصرف ميزبانان وب در آن‌ها وجود ندارد و مشخص مي‌كند كه سايت ايراني است.

وي افزود: پسوندهاي ir، بيشتر در سازمان‌هاي دولتي مورد استفاده قرار مي‌گيرند، اما بسياري از شركت‌هاي خصوصي هم با توجه به اين که پسوندهاي ديگري كه مي‌خواهند از آن‌ها استفاده كنند، در كشورهاي ديگر ثبت شده، از اين پسوند استفاده مي‌كنند. بنانژاد، با بيان اين كه استفاده از اين پسوندها در آمار دستيابي كاربران به سايت تاثيري ندارد، گفت: استفاده از اين پسوندها در دستيابي موتورهاي جست‌وجو به آن‌ها تاثير منفي خواهد گذاشت؛ چرا كه اين پسوند به صورت منطقه‌يي تعريف مي‌شود. وي در ادامه گفت: با استفاده از پسوندهاي داخلي، ميزباني وب در ايران و ايجاد ديتا سنترهاي داخلي، امنيت اطلاعات بيشتر شده و وابستگي اينترنتي به شركت‌هاي فناوري اطلاعات در خارج از كشور كمتر مي‌شود.

کرم Netsky-P .که اولين بار در مارس سال 2004 رويت شد کماکان رتبه اول را در اختيار دارد

شرکت امنيتي Sophos مطابق روال همه ماهه خود فهرستي از مخرب ترين ويروس هاي اينترنتي مي سال 2006 را منتشر نمود.

بر طبق اين گزارش کرم Netsky-P که اولين بار در مارس سال 2004 رويت شد کماکان رتبه اول را در اختيار دارد. اين بدافزار از طريق ضمائم نامه هاي الکترونيک منتقل مي شود. علاوه بر اين نسخه هاي مختلف کرم Mytob هم در اين فهرست وجود دارند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

گزارش تازه Sophos نشان مي دهد که در ماه مي 1538 تهديد رايانه اي جديد شناسايي شده اند که 85.1 درصد از آنها تروجان و 12.3 درصد کرم يا ويروس بوده اند. فهرست ده تهديد ويروسي برتر ماه مي از ديد Sophos به شرح زير است:

• 1 W32/Netsky-P 16.7%

• 2 W32/Zafi-B 11.4%

• 3 W32/Nyxem-D 7.5%

• 4 W32/Mytob-AS 6.3%

• 5 W32/Mytob-P 5.3%

• 5 W32/Mytob-M 5.3%

• 7 W32/Netsky-D 3.7%

• 8 W32/MyDoom-O 3.6%

• 9 W32/Mytob-FO 2.9%

• 10 W32/Mytob-C 2.1%
;)
hamvatansalam.com

نخستین ویروس رایانه ای كه مجموعه برنامه های كاربردی استارآفیس را هدف قرار می دهد شناسایی شد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
كارشناسان كاسپرسكی اعلام كردند نگارنده این ویروس احتمالا قصد آسیب رساندن به رایانه ها و ربودن اطلاعات كاربران را نداشته و تنها خواهان اثبات آسیب پذیر بودن مجموعه استارآفیس بوده است.
مجموعه نرم افزاری استارآفیس یكی از مهمترین رقبای مجموعه نرم افزاری مایكروسافت آفیس است كه توسط سان مایكروسیستمز تولیده شده است.
این مجموعه دارای یك نرم افزار از نوع صفحه گسترده نظیر اكسل و یك نرم افزار واژه پرداز نظیر ورد است كه قادرند فایل های اكسل و ورد را نیز اجرا و یا ویرایش كنند.
ویروس جدید كه استارداست نام گرفته از ویژگی ماكروها برای اجرای خود استفاده می كند. ماكرو به قابلیتی برای اجرای خودكار برخی فعالیتها درون نرم افزارهایی كاربردی نظیر ورد و اكسل گفته می شود.
چنانچه یك كاربر فایل آلوده به ویروس استارداست را باز كند، تمامی فایل های نرم افزار واژه پرداز مجموعه استارآفیس با پسوند swx و همچنین تمامی فایل های نرم افزار صفحه گسترده این مجموعه با پسوندی stw به همین ویروس آلوده می شوند.
سپس هنگامی كه كاربر هركدام از این فایلهای آلوده شده را باز كند، تصاویر غیراخلاقی در صفحه نمایش رایانه كاربر ظاهر می شوند.
كارشناسان عقیده دارند هرچند ویروس استارداست خطر جدی برای كاربران محسوب نشده و تنها اثباتی برای آسیب پذیر بودن مجموعه استارآفیس است، اما هكرها می توانند با تقویت كد این ویروس، آن را به یك برنامه مخرب و خطرناك برای كامپیوتر ها تبدیل كنند كه كاربران نرم افزارها و سیستم عامل های دارای كد باز را تهدید خواهد كرد.

مخرب ترين ويروس هاي ماه مي معرفي شدند

شرکت امنيتي Sophos مطابق روال همه ماهه خود فهرستي از مخرب ترين ويروس هاي اينترنتي مي سال 2006 را منتشر نمود. بر طبق اين گزارش کرم Netsky-P که اولين بار در مارس سال 2004 رويت شد کماکان رتبه اول را در اختيار دارد. اين بدافزار از طريق ضمائم نامه هاي الکترونيک منتقل مي شود. علاوه بر اين نسخه هاي مختلف کرم Mytob هم در اين فهرست وجود دارند. گزارش تازه Sophos نشان مي دهد که در ماه مي 1538 تهديد رايانه اي جديد شناسايي شده اند که 85.1 درصد از آنها تروجان و 12.3 درصد کرم يا ويروس بوده اند. فهرست ده تهديد ويروسي برتر ماه مي از ديد Sophos به شرح زير است:

W32/Netsky-P 16.7%

W32/Zafi-B 11.4%

W32/Nyxem-D 7.5%

W32/Mytob-AS 6.3%

W32/Mytob-P 5.3%

W32/Mytob-M 5.3%

W32/Netsky-D 3.7%

W32/MyDoom-O 3.6%

W32/Mytob-FO 2.9%

W32/Mytob-C 2.1%

خدمات ایمیل "یاهو" هدف حمله یك ویروس اینترنتی جدید به نام "یامنر" (‪ (Yamanner‬قرار گرفته‌است.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به گزارش خبرگزاری رویترز، خدمات ایمیل شركت "یاهو" در حال حاضر با ارائه بیش از ‪ ۲۰۰‬میلیون صندوق پست الكترونیك، پركاربرترین خدمات ایمیل در اینترنت است و به گفته مقامات "یاهو"، هم‌اكنون بخش كوچكی از كاربران این خدمات در معرض حمله ویروس جدید قرار گرفته‌اند. ایمیل حاوی ویروس "یامنر" با موضوع "‪ "New Graphic Site‬وارد صندوق پست الكترونیك مشتركان "یاهو" می‌شود. هنگامی كه كاربر این ایمیل را باز كند، ویروس فعال شده و پس از آلوده كردن رایانه كاربر، یك نسخه از خود را به تمامی آدرسهای ایمیل سایر كاربران "یاهو" كه در رایانه آلوده شده موجود است، ارسال می‌كند.
شركت تولیدكننده نرم‌افزارهای امنیتی "سیمانتك" در واكنش به ظهور ویروس "یامنر" اعلام كرد: بر خلاف اغلب ایمیل‌های حاوی ویروسهای اینترنتی كه دارای یك فایل ضمیمه هستند و ویروس پس از كلیك شدن روی این فایل ضمیمه فعال می‌شود، ویروس "یامنر" دارای فایل ضمیمه نبوده و تنها با كلیك كردن كاربر روی خود ایمیل و باز كردن آن، فعال شده و رایانه را مبتلا می‌سازد. "كلی پادبوی" سخنگوی "یاهو" اعلام كرد این شركت اقدامات لازم برای جلوگیری از گسترش ویروس "یامنر" را انجام داده‌است.
وی همچنین از كاربران خدمات ایمیل "یاهو" درخواست كرد برای احتیاط بیشتر نرم‌افزار ضدویروس خود را به روز كرده و هرگونه ایمیل دریافتی از آدرس ‪ av۳@yahoo.com‬را سریعا پاكسازی و مسدود كنند.
ویروس "یامنر" رایانه كاربر را در برابر حملات بعدی هكرها آسیب پذیر ساخته و آدرس ایمیل كاربر را نیز احتمالا برای ارسال انبوه "اسپم" به یك سرور كه توسط نگارنده ویروس مورد استفاده قرار می‌گیرد، ارسال می‌كند.

M.B.M عزیز خبر های مربوط به ویروسها رو میتونید در انجمن خبر ها و در تایپک آخرین اخبار مربوط به ویروسها که به صورت
پیوسته شده هم هست مطرح کنید.


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

یك ویروس رایانه ای در میان كاربران نرم افزار وینی در حال گسترش است. وینی، نرم افزاری ژاپنی برای به اشتراك گذاری فایل (پیر تو پیر) است. این ویروس، اطلاعات شخصی موجود در رایانه كاربران را ربوده و در اینترنت منتشر می كند.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به گزارش خبرگزاری آسوشیتدپرس، این ویروس به نام آنتینی (Antinny) به ویژه درمیان كاربران ژاپنی اینترنت كه به میزان زیادی از نرم افزار وینی (Winny) استفاده می كنند، گسترش یافته است. ویروس آنتینی پس از آلوده كردن رایانه كاربران، به صورت تصادفی تعدادی از فایل های موجود در هارد دیسك رایانه كاربر را انتخاب كرده و سپس این فایل ها را درون همین شبكه به اشتراك گذاری فایل، در اختیار سایر كاربران قرار می دهد. این ویروس تاكنون موفق شده با همین روش در كشور ژاپن، فایل های حساسی را از رایانه های كاربران خانگی، شركت های هوایی، ادارات پلیس، شركت های مخابراتی، وزارت دفاع ژاپن و حتی یك شركت تولیدكننده نرم افزارهای ضد ویروس ربوده و در اینترنت منتشر كند.
هر چند ویروس آنتینی در مقایسه با ویروس هایی كه ویندوز را هدف قرار می دهند از گستردگی و شیوع بسیار كمتری برخوردار است، اما نحوه تقابل آن با نرم افزارهای به اشتراك گذاری فایل قابل توجه بوده و به ویژه در میان كاربران ژاپنی نگرانی زیادی را به وجود آورده است.
كارشناسان عقیده دارند نگارندگان این ویروس می توانند كد آن را برای حمله به كاربران خدمات به اشتراك گذاری فایل پركاربرتر نظیر كازا، نوتلا و یا بیت تورنت به روزنگاری كرده و ده ها میلیون كاربر این خدمات را در معرض انتشار اطلاعات شخصیشان در اینترنت، قرار بدهند.

كارشناسان امنیت رایانه هشدار دادند كه ویروس جدیدی به نامyamanner اخیرا سرویس ایمیل یاهو را مورد حمله قرار داده و پس از ورود به صندوق پست الكترونیكی كاربران ، آدرس های موجود در آن را پاك می كند.

این ویروس آدرس های درون صندوق الكترونیكی كاربران را برای یك پایگاه داده اسپم جمع آوری می كند. به كاربران ایمیل یاهو هشدار داده شده كه از دریافت پیام با آدرس av۳@yahoo.com و تحت عنوان سایت گرافیكی جدید خودداری كنند.سیمانتك اعلام كرد كه كرم یامانر از آسیب پذیری جاوا اسكریپت در وب میل یاهو سود می برد، این وورم آدرس هایی با دامنه yahoo.com و نیز yahoogroups.com را مورد هدف قرار می دهد و در یك پیام HTML محتوای جاوا اسكریپت فرستاده می شود، به محض آن كه كاربر پیام را باز كند، وورم به سرعت IDهای موجود در دفترچه آدرس یاهو را مورد هدف قرار می دهد.

مقامات سایت گوگل از ورود یك ویروس اینترنتی به شبكه ORKUT خبر دادند.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این ویروس خطرناك پس از ورود به شبكه ، وارد بانك اطلاعات شخصی افراد شده و اطلاعات مهم را جمع‌‏آوری می‌‏كند.گزارشات حاكی است، آزمایشگاه امنیت نرم‌‏افزاری سایت گوگل برای جلوگیری از گسترش هر چه بیشتر این ویروس كه از طریق پیام‌‏های اینترنتی به صفحه اصلی رایانه كاربران نفوذ می‌‏كند ، وارد عمل شده‌‏اند.بنابر توصیه مقامات این سایت ، چنانچه رایانه كاربران سایت ORKUT با ویروس جدید آلوده شود ، كاربران باید از نرم‌‏افزار UICROSOFT COVP.S كه معمولا بر روی سیستم عامل XP نصب است برای یافتن فایل شخصی خود كه ویروس شده است ، استفاده كنند.
گفتنی است ، ۱/۲۱ میلیون كاربر اینترنتی از شبكه ORKUT استفاده می‌‏كنند كه از این تعداد ۵۶/۶۸ درصد كاربر برزیلی، ۶/۱۲ درصد آمریكایی و ۳۲/۵ درصد هندی هستند.

استفاده ويروس رايانه‌اي"سيكسم-اي" از تب جام‌جهاني براي فريب كاربران
تهران، خبرگزاري جمهوري اسلامي ‪۸۵/۰۳/۳۱‬

علمي. جامعه اطلاعاتي. ويروس.

شركتهاي ارائه‌دهنده خدمات امنيت اينترنتي از شناسايي نخستين ويروس رايانه‌اي جديد هشدار مي‌دهند كه با موضوع مرتبط به جام جهاني ‪ ۲۰۰۶‬آلمان و به زبان انگليسي در اينترنت منتشر شده‌است.

به گزارش سايت اينترنتي "پي‌سي‌ورلد"، اين ويروس رايانه‌اي با نام "سيكسم-اي"(‪ (Sixem-A‬با كمك ايميل در حال گسترش در اينترنت است.

ايميل آلوده به اين ويروس با يكي از دو موضوع "‪ "Naked World Cup‬و يا "‪ "Soccer fans killed five teens‬به همراه يك فايل ضميمه كه به نظر مي‌رسد يك عكس است به صندوق ايمل كاربران وارد مي‌شود.

در متن ايميل ادعا شده‌است كه اين عكس مربوط به رفتار غيرعادي طرفداران تيمهاست و كاربر را به باز كردن فايل ضميمه تشويق مي‌كند.

"گراهام كلولي" رييس شركت ارائه‌دهنده خدمات امنيتي "سوفوس" اعلام كرد اين فايل ضميمه در واقع يك نرم‌افزار مخرب است كه پس از اجرا شدن نرم‌افزار ضد ويروس موجود در رايانه را غيرفعال كرده، اقدام به دانلود كدهاي مخرب بيشتر كرده و در نهايت يك نسخه از خود را به تمامي آدرسهاي ايميل موجود در هارد ديسك رايانه كاربر ارسال مي‌كند.

به گفته كارشناسان، هر موضوعي كه به طور گسترده مورد توجه كاربران باشد، از جمله جام جهاني، مي‌تواند به صورت گسترده از طرف هكرها و نويسندگان كدهاي مخرب براي فريب كاربران مورد استفاده قرار بگيرد و ويروس "سيكسم-اي" نيز آخرين مورد از قبيل است.

اغلب شركتهاي توليدكننده نرم‌افزارهاي ضد ويروس هم‌اكنون محصولات خود را براي شناسايي ويروس "سيكسم-اي" به روزنگاري كرده‌اند.

نفوذ کرم اینترنتی به شبکه orkut google

مقامات سایت گوگل از ورود یک ویروس اینترنتی به شبکه ORKUT خبر دادند.

به گزارش آژانس خبری پرشین هک از ایلنا ، این ویروس خطرناک پس از ورود به شبکه ، وارد بانک اطلاعات شخصی افراد شده و اطلاعات مهم را جمع‌‏آوری می‌‏کند.گزارشات حاکی است، آزمایشگاه امنیت نرم‌‏افزاری سایت گوگل برای جلوگیری از گسترش هر چه بیشتر این ویروس که از طریق پیام‌‏های اینترنتی به صفحه اصلی رایانه کاربران نفوذ می‌‏کند ، وارد عمل شده‌‏اند.بنابر توصیه مقامات این سایت ، چنانچه رایانه کاربران سایت ORKUT با ویروس جدید آلوده شود ، کاربران باید از نرم‌‏افزار UICROSOFT COVP.S که معمولا بر روی سیستم عامل XP نصب است برای یافتن فایل شخصی خود که ویروس شده است ، استفاده کنند.گفتنی است ، 1/21 میلیون کاربر اینترنتی از شبکه ORKUT استفاده می‌‏کنند که از این تعداد 56/68 درصد کاربر برزیلی، 6/12 درصد آمریکایی و 32/5 درصد هندی هستند.

نسخه جديد Bagle از 118 نام متفاوت استفاده مي‌كند!

متخصصان شركت سوفوس از كشف نسخه‌ي جديدي از كرم Bagle خبر داده‌اند كه از طريق سيستم‌هاي ايميلي منتشر مي‌گردد.

به گزارش آژانس خبری پرشین هک،
اين گونه‌ي جديد كه W32/Bagle-KL نام گرفته، در قالب يك فايل پيوست Zip با يك رمز عبور پنهان شده است. اين كرم جديد با استفاده از 118 نام متفاوتي كه در كد آن برنامه‌ريزي شده، از طريق ايميل منتشر مي‌شود. فهرست برخي از اين نام‌ها به قرار زير است:


Ann, Anthonie, Constance, Emanual, Frances, Geoffraie, Harrye, Humphrie, Judith, Margerie, Michael, Nicholas, Robert, Winifred, Johen, Thomas.


ايميل‌هاي حاوي اين كرم داراي يك فايل Zip با يكي از نام‌هاي گفته شده، است. در زير به نمونه‌هايي از اسامي اين فايل‌ها اشاره شده است:

Edmund.zip, Nicholaus.zip, Dorithie.zip, Henry.zip, Daniel.zip, Nycholas.zip, Judeth.zip, Sybyll.zip, Winifred.zip, Bennett.zip, and John.zip.

همچنین در ادامه تحقیقات پرشین هک مشخص شد درون هر يك از اين فايل‌هاي Zip يك كپي از كرم Bagle-KL وجود دارد. متن ايميل نيز حاوي عبارت‌هايي نظير “I love you” و يا “To the beloved” است به همراه يك رمز عبور عددي كه براي باز كردن فايل Zip ضميمه به كار برده مي‌شود.


اين كرم زماني كه بر روي كامپيوتر قرباني اجرا شود، خود را در قالب همان فايل Zip پنهان كرده و از طريق ايميل به آدرس‌هاي ديگر ارسال مي‌كند تا بدين ترتيب از طريق gateway شناسايي نشود.


كاربران بايد خيلي عاقل و آكاه باشند تا بتوانند در برابر وسوسه باز كردن اين فايل پيوست مقاومت كنند و اطمينان داشته باشند كه ضد ويروس آن‌ها به روز باشد.

کرم جدیدی زمان مرگ کاربر را پیش‌بینی و نرم‌افزار آنتی‌ویروس را مختل می‌کند

متخصصان امنیت رایانه نسبت به شیوع یک کرم جدید هشدار داده‌اند که زمان مرگ کاربری که آن را دریافت می‌کند، را پیش‌بینی کرده و نرم‌افزار آنتی‌ویروس سیستم را از کار می‌اندازد.

به گزارش آژانس خبری پرشین هک از ایسنا، کرم Black Angle.B که به زبان اسپانیایی است، نوع جدید از کرم "بلک انجل" است که تاکنون سرویس پیام فوری مایکروسافت بسیاری از کاربران را هدف قرار داده است.این کرم خود را در قالب یک کلیپ ویدیو به نام "Fantansma" به‌معنای "روح" گسترش می‌دهد و اگر کاربر برروی ضمیمه‌ی ای‌میل کلیک کند، تصویری با این عبارت بر روی صفحه‌اش ظاهر می‌شود:"روز اول، شما وحشت‌زده می‌شوید، روز دوم ناامید می‌شوید، روز سوم کمک می‌خواهید و روز چهارم خواهید مرد.

این کرم در ادامه یک کپی از خود را برای تمام افرادی که در فهرست تماس کاربر قرار دارد، می‌فرستد و آن کاربران نیز پیامی ‌با عنوان "به این ویدیو نگاه کنید" دریافت خواهند کرد.به‌گفته‌ی متخصصان، این کرم همچنین برنامه‌های امنیتی و آنتی‌ویروس سیستم کاربر را مختل می‌کند تا احتمال از بین رفتن خود را کاهش دهد.

ياهو از مقابله با شيوع كرم «يامانر» در سرويس پست الكترونيكي خود خبر داد

موتور جست‌وجوگر ياهو اعلام كرد توانسته است از شيوع بيشتر كرم "Yamanner" در سرويس اي‌ميل آن جلوگيري كند، با اين حال كاربران ايميل ياهو بايد بسيار مراقب باشند.

به گزارش آژانس خبری پرشین هک از ايسنا، كرم "يامانر" براي نخستين بار، روز دوشنبه شناسايي شد كه ايميل كاربران در ياهو را مورد هدف قرار مي‌دهد. پس از آن‌كه اين كرم وارد جعبه‌ي پستي الكترونيك كاربران شد، به دنبال آدرس‌هاي موجود در آن مي‌گردد و براي تمامي ‌آن‌ها پيام "سايت گرافيكي جديد" ارسال مي‌كند.

ياهو در اطلاعيه‌ي خود اعلام كرد: گام‌هاي اوليه براي حل اين مشكل برداشته شده و توانسته‌ايم كاربران را برابر حملات بعدي اين كرم حمايت كنيم، راه‌حل آن براي تمامي‌ كاربران ايميل ما فرستاده شده است.

رايان پيتيلاك 24 ساله، ارسال كننده 25 ميليون هرزنامه در روز !!!!! ( دمش گرم )

متخصصان سوفوس اعلام كرده‌اند كه مايكروسافت و ايالت تگزاس عليه يك فارغ التحصيل دانشگاهي كه ادعا مي‌كند روزانه به ارسال 25 ميليون هرزنامه اقدام مي‌كرده، شكايت كرده‌اند.

به گزارش آژانس خبری پرشین هک رايان پيتيلاك، 24 ساله اهل Austin محكوم به پرداخت جريمه‌ي يك ميليون دلاري شده و اكنون در حال فروش خانه 430 هزار دلاري، ماشين گران قيمت و ساير دارايي‌هاي خود است تا بتواند جريمه‌ي تأيين شده را پرداخت كند. متخصصان وي را چهارمين ارسال كننده‌ي خطرناك در جهان ناميده‌اند.


پيتيلاك در بلاگ شخصي خود اعلام كرده است كه اكنون در حال ارايه‌ي خدمات خود به شركت‌هاي اينترنتي است تا بتوانند با استفاده از اين سرويس‌ها از هرزنامه‌هاي ارسال شده توسط پيتيلاك جلوگيري كنند. وي در وبلاگ خود اين چنين نوشته است:


«خوشحالم كه اكنون عضوي از جامعه‌ي ضد هرزنامه هستم و يك شركت امنيت اينترنتي را راه اندازي كرده‌ام كه هشدارها و راه كارهايي را براي حفاظت از سيستم‌هاي در برابر هرزنامه‌ها ارايه مي‌دهد. من به اين نتيجه رسيده‌ام كه با نگاه كردن به هرزنامه به عنوان يك بازي موش و گربه با سرپرستان شبكه‌هاي ايميلي، مرتكب استباه بزرگي شده‌ام.»


گراهام كلولي، مشاور ارشد تكنولوژي در سوفوس مي‌گويد كه جامعه بايد مراقب باشد تا هيچ پيامي را به مجرمان اينترنتي كه باعث پشتيباني از آن‌ها مي‌شود، ارسال نكند. مقامات اجرايي بايد اين مسئله را براي ارسال كنندگان هرزنامه كاملاً روشن و واضح كند كه عمل آن‌ها غير قابل قبول و ناپسند است.

تايوان بيشترين ميزان ارسال اسپم را در جهان دارد

نتايج مطالعات نشان مي‌دهد تايوان بيشترين ميزان اسپم ارسالي در جهان را دارد.
به گزارش آژانس خبری پرشین هک از ايسنا، براساس بررسي انجام شده از سوي يك شركت تحقيقاتي، 64 درصد از سيستم‌هايي كه ايميل‌هاي هرزه مي‌فرستند در تايوان قرار دارند.
آمريكا با 23 درصد در مكان دوم قرار دارد و چين نيز با سه درصد، سومين كشور بزرگ ارسال كننده‌ي اسپم و ايميل‌هاي هرزه در جهان معرفي شده است. نتايج اين مطالعه كه در ماه مي انجام شد، حاكي است ترافيك ارسال ايميل‌هاي زيادي براي كاربران در سطح جهاني طي ماه مي 20 درصد افزايش يافت.
در حال حاضر رايج‌ترين شيوه براي ارسال اسپم، لينك ايميل‌هاي نوشتاري به عكس است كه موجب مي‌شود كاربران هنگام جست‌وجوي اينترنتي، عكس‌هاي اسپم شده را دريافت كنند.

مخرب ترین ویروس های ماه می معرفی شدند

شرکت امنیتی Sophos مطابق روال همه ماهه خود فهرستی از مخرب ترین ویروس های اینترنتی می سال 2006 را منتشر نمود.

به گزارش آژانس خبری پرشین هک از خبرگزاری فاوانیوز، بر طبق این گزارش کرم Netsky-P که اولین بار در مارس سال 2004 رویت شد کماکان رتبه اول را در اختیار دارد. این بدافزار از طریق ضمائم نامه های الکترونیک منتقل می شود. علاوه بر این نسخه های مختلف کرم Mytob هم در این فهرست وجود دارند.گزارش تازه Sophos نشان می دهد که در ماه می 1538 تهدید رایانه ای جدید شناسایی شده اند که 85.1 درصد از آنها تروجان و 12.3 درصد کرم یا ویروس بوده اند.

فهرست ده تهدید ویروسی برتر ماه می از دید Sophos به شرح زیر است:

• 1 W32/Netsky-P 16.7%• 2 W32/Zafi-B 11.4%• 3 W32/Nyxem-D 7.5%• 4 W32/Mytob-AS 6.3%• 5 W32/Mytob-P 5.3%• 5 W32/Mytob-M 5.3%• 7 W32/Netsky-D 3.7%• 8 W32/MyDoom-O 3.6%• 9 W32/Mytob-FO 2.9%• 10
W32/Mytob-C 2.1%

منبع : فاوانیوز

تروجان جديد بيش از دو هزار رايانه را آلوده كرد

نوع جديدي از تروجان كه مي‌تواند به كلمات عبور و اطلاعات بانكي آنلاين كاربران دسترسي پيدا كند، كشف شد.

به گزارش آژانس خبری پرشین هک، Briz.I، توسط شركت امنيت رايانه‌يي "Panda Software" كشف شده است و بنابر اعلام اين شركت تاكنون دو هزار و 700 رايانه در 120 كشور جهان را آلوده ساخته است. مدير اين شركت گفت: Birz.I، مي‌تواند با يك تروجان قبلي كه براي دستور دادن نسخه‌هاي Briz ساخته شده است و مي‌توان آن را با 990 دلار خريد، مرتبط باشد، همچنين اين نرم‌افزار مخرب مي‌تواند توسط مبتكر اصلي آن ساخته و فروخته شود. لوئيس كورنز افزود: ممكن است كه خالق اصلي اين تروجان تصميم داشته است با استفاده از همان تروجاني كه قبلا فروخته بود، سودجويي مستقيم كند. اين تروجان مي‌تواند نسخه‌ي جديد يكي از نمونه‌هايي باشد كه در حالي كه تروجان قبلي روي كار هستند، فروخته شود. نرم‌افزار مخرب تازه كشف شده تحت عنوان "iexplore.exe" تغيير حالت مي‌دهد و خود را به عنوان اينترنت اكسپلورر معرفي مي‌كند، سپس هنگامي‌ كه فعال شود، جزيياتي همچون آدرس و محل IP را به وب سايت هكر ارسال مي‌كند. Briz.I خود را به صورت اينترنت اكسپلورر در مي‌آورد و تمامي ‌اطلاعاتي آنلاين از جمله كلمات عبور و جزييات بانكي آنلاين را در اختيار هكر قرار مي‌دهد. پيدا كردن اين تروجان دشوار است، چرا كه ردي از خود به جاي نمي‌گذارد و مي‌تواند از دسترسي به وب سايت‌هاي آنتي ويروس جلوگيري كند.

آسيا بزرگ‌ترين منبع پخش اسپم در جهان است

ايالات متحده‌ي آمريكا همچنان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود
در حال حاضر قاره‌ي آسيا بيش از هر قاره ديگري در جهان، توليد اسپم مي‌كند، اين در حالي است كه تا دو سال پيش، آمريكا به تنهايي نيمي‌ از اسپم‌هاي رايانه‌يي را به جهان ارسال مي‌كرد.
به گزارش آژانس خبری پرشین هک، براساس اين گزارش، كشورهاي آسيايي از ميان ‌12 كشور بزرگ توليدكننده‌ي اسپم در سه ماهه‌ي نخست سال ‌2006، منشاء ‌8/42 درصد از اسپم‌هاي جهان هستند، در حالي كه سهم آمريكاي شمالي ‌6/25 درصد و سهم اروپايي‌ها ‌25 درصد اعلام شده است.
اگرچه ايالات متحده‌ي آمريكا اكنون سهم ‌50 درصدي خود از نظر اسپم‌ها را به يك‌چهارم كاهش داده است، اما باز هم اين كشور به عنوان منبع اصلي پيدايش اسپم در جهان محسوب مي‌شود. بر اساس گزارش شركت امنيتي سوفوس، چين نيز با سرعت قابل توجهي براي كسب عنوان نخست در حال تعقيب آمريكا است و اين درحاليست كه آمريكايي‌ها با اتخاذ سياست‌هاي مناسب سعي در كاهش ميزان توليد اسپم دارند كه در اين زمينه موفق نيز بوده‌اند. دكتر جان هروسكا - از بنيانگذاران شركت سوفوس - گفت: اسپم ابزاري براي بازاريابي است و به دليل رشد اقتصادي آسيا، سرچشمه‌ي تعداد بيشتري از اسپم‌ها در اين قاره است. همچنين گراهام كلولي - مدير ارشد مشاوره‌ي فناوري سوفوس - اشاره كرد كه روزانه ويروس‌ها، وورم‌ها و اسب‌هاي تروجان جديدي طراحي مي‌شوند تا به كاربران بي‌گناه اينترنت حمله كرده و اطلاعات آن‌ها سرقت كنند، كاهش توليد اسپم در آمريكا نشان مي‌دهد كه آمريكايي‌ها بيش از قبل هشيار شده‌اند و به اهميت حفظ رايانه‌هاي خود در برابر حملات مرموز هكرها، پي برده‌اند.
وي افزود: آمار نشان مي‌دهد كه در حال حاضر از هر ‌40 پست الكترونيك ارسالي در سراسر جهان، يكي آلوده به ويروس است و ‌50 درصد از كل پست‌هاي الكترونيك اسپم هستند، در حقيقت اينترنت تبديل به يك شبكه‌ي آلوده شده است. گراهام در ادامه گفت: اگر كاربر با رايانه‌هايي كه به ويندوز xp مجهز است،‌ بدون هيچ نرم‌افزار يا بسته‌ي امنيتي، به اينترنت وصل شود و هيچ فعاليتي در اينترنت انجام ندهد، به احتمال ‌94 درصد، ظرف مدت ‌60 دقيقه و به احتمال ‌40 درصد، ظرف مدت ‌10 دقيقه آلوده خواهد شد. بازار اسپمرها، اكنون به سه ميليارد دلار رسيده است، با اين پول آن‌ها مي‌توانند فارغ از راهكارهاي آماتور، با ويروس‌ها و كدهاي مخرب حرفه‌يي تري، به كاربران حمله‌ور شوند.

هروسكا همچنين به كاربران رايانه پيشنهاد مي‌كند كه براي حفظ امنيت سيستم‌هاي خود در برابر حملات هكرها، حداقل سه عمل زير را به خوبي انجام دهند؛ مطمئن شوند كه نرم‌افزارهاي جديدي كه استفاده مي‌كنند، براي سيستم عامل به روز شده‌اند. حتما از يك فايروال استفاده كنند و از نرم‌افزار ضد ويروس و ضد اسپم استفاده كنند.

تراواي جديد در قالب پيام هشدار براي كاربران منتشر مي‌شود

متخصصان SophosLabs، شبكه‌ي جهاني مراكز تحليل ويروس، نرم‌افزارهاي جاسوسي و هرزنامه‌هاي شركت سوفوس، نرم‌افزار مخرب جديدي را كشف كرده كه به محصولات ضد جاسوسي آسيب مي‌رساند.

به گزارش آژانس خبری پرشین هک،
اين نرم‌افزار مخرب كه اسب تراوايي با نام Troj/Paymite-J است، به دنبال كامپيوترهاي موجود در شبكه بوده تا ايميل‌هاي تقلبي خود را با اين ادعا كه اين كامپيوترها به نرم‌افزار جاسوسي مبتلا شده‌اند، به كاربران آن‌ها ارسال كند. اين ايميل، براي برطرف ساختن اين نقص، دريافت كنندگان خود را به بازديد از وب سايتي جعلي دعوت مي‌كند.

گراهام كلولي، مشاور ارشد تكنولوژي شركت سوفوس گفته است كه كاربران غير فني كامپيوتر ممكن است قادر به تشخيص اين ايميل مخرب از پيام‌هاي واقعي نباشند و به سرعت از وب سايت ذكر شده، بازديد كنند. چنانچه آن‌ها وارد اين سايت تقلبي شوند، به سمت نصب نرم‌افزار مخرب ياد شده، هدايت مي‌شوند كه نسخه‌ي كاملي از برنامه‌ي مخرب تازه شناسايي شده را به آن‌ها ارايه مي‌دهد.

كلولي گفته است: «به اين دليل كه اين پيام ايميلي تقلبي، آدرس IP كامپيوتر را به نمايش مي‌گذارد، برخي از افراد ممكن است تصور كنند كه اين پيام قانوني و معتبر است.»


سوفوس از روز جمعه، 26 ماه مه در حال حفاظت از كاربران كامپيوتر در برابر اين تراواي جديد است و به طور خودكار، محصولات مشتريان خود را به روز كرده است.


سوفوس به شركت‌ها توصيه مي‌كند كه راه‌كاري جدي و يكپارچه براي دفاع در برابر ويروس‌ها، نرم‌افزارهاي جاسوسي و هرزنامه‌ها به كار گيرند و اطمينان يابند كه اين راه كار به صورت خودكار در هنگام پيدايش تهديدات جديد به روز مي‌شود.

برنامه جاسوسي جديد از كاربران اينترنتي اخاذي مي كند

شركت هاي امنيتي اخيرا اعلام كردند: برنامه هاي جاسوسي جديدي در اينترنت انتشار يافته است كه كاربران اينترنتي را با وعده هاي دروغين فريب مي دهد و از انها اخاذي مي كند.

به گزارش آژانس خبری پرشین هک از موج، برنامه هاي جديد جاسوسي جديد كاربران اينترنتي را تهديد ميكند . اين برنامه هاي جاسوسي نوين به شيوه اي جديد افراد را فريب مي دهند به اين طريق كه به آنها وعده مي دهند كه مي توانند به آساني به سايت ها و فايل هاي غير اخلاقي دسترسي داشته باشند و كاربران هم آدرس ايميل خود را در اختيار انها قرار خواهند داد بدون اينكه به عواقب آن توجهي داشته باشند.سپس بعد از مدتي ايميلي مبني بر اينكه رايانه آنها آلوده به ويروس است به آنها ارسال مي شود و از آنها خواسته مي شود تا براي رهايي از شر اين ويروس ها مبلغي را به انها بپردازند.مبلغ مورد نظر 50 دلار اعلام شده است.
شركت آنتي ويروس پاندا گفت:اين برنامه هاي جاسوسي Digikeygen نام دارد و به اطصلاح كد هايي را برايدسترسي به سايت هاي غير اخلاقي در اختيار كاربران قرار مي دهد.شركت هاي امنيتي اعلام داشتند تا حتي الامكان از باز كردن ايميل هاي نا شناس و مشكوك خودداري كنند و فريب اين سايت هاي غير اخلاقي را نخورند.

هرزنامه‌ي "كد داوينچي" به آلوده كردن كامپيوترها مي‌پردازد

به گزارش آژانس خبری پرشین هک،متخصصان ضد ويروس شركت سوفوس به مشتريان خود هشدار داده‌اند كه مراقب ايميل‌هاي ناشناخته و فريبنده‌اي باشند كه تلاش مي‌كنند به عنوان ايميلي كه ارايه دهنده نسخه‌اي از پر فروش‌ترين رمان‌هاي "دان براون" يعني "كد داوينچي" است، به آلوده كردن كامپيوترهاي كاربران بپردازند.

سوفوس در شبكه‌ي جهاني مربوط به تله‌هاي هرزنامه‌اي خود، ايميل‌هايي را شناسايي كرده كه دريافت كنندگان خود را به عضو شدن در يك كلوب كتاب ترغيب كرده و ادعا مي‌كند كه نسخه‌اي رايگان از كتاب كد داوينچي را به اين قربانيان اهدا خواهد كرد. اين ايميل همچنين ادعا مي‌كند كه علاوه بر نسخه‌اي رايگان از رمان ذكر شده، پنج رمان پر فروش ديگر را به مبلغ نود و نه سنت ارايه مي‌دهد.

گراهام كلولي، مشاور ارشد تكنولوژي در شركت سوفوس مي‌گويد كه افراد بايد مراقب چنين ايميل‌هاي ناشناخته‌اي باشند. وي گفته است كه اين ايميل‌ها، دريافت كنندگان خود را به وب سايتي هدايت مي‌كنند كه كم‌تر از يك ماه است كه به ثبت رسيده و هدف آن از ارسال چنين ايميل‌هايي هنوز نامشخص است، اما به به طور حتم نسخه‌اي رايگان از رمان‌هاي ياد شده را به مراجعه كنندگان خود ارايه نمي‌دهد.


بر اساس آمار به دست آمده، نه درصد از كاربران كامپيوتر، كالاهايي را خريداري كرده‌اند كه از طريق هرزنامه‌ها ارايه شده‌اند.


كلولي گفته است كه اكنون زمان آن فرا رسيده تا شركت‌هايي را كه از ارسال هرزنامه‌ها براي فروش كالاهاي خود استفاده مي‌كنند، تحريم كنيم. وي به كاربران هشدار داده است كه: «چنانچه ايميلي ناشناخته و مشكوك دريافت كرديد، براي باز كردن آن تلاش نكنيد، چيزي از وب سايت‌هاي ارايه شده در آن خريداري نكنيد و پاسخي نيز ارسال نكنيد.»


سوفوس به شركت‌ها پيشنهاد كرده است كه براي حفاظت از خود از راه‌كارهاي يكپارچه و محكمي استفاده كنند كه بتوان با استفاده از آن‌ها به حمايت از كسب و كارها در برابر تهديد هرزنامه‌ها، نرم‌افزارهاي جاسوسي و ويروس‌ها پرداخت.

كرم جديد اينترنتي ياهومسنجر را آلوده مي‌سازد

محققان ويروسي را شناسايي كرده‌اند كه تهديد جدي براي ياهومسنجر به‌شمار مي‌آيد.

به گزارش سرويس فناوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، اين وورم كه yahoo32.explr نام دارد و به خودي خود تكثير مي‌شود، نرم‌افزاري موسوم به Safety Brwoser را نصب كرده و سپس كنترل صفحه‌ي اصلي اينترنت اكسپلورر را در اختيار خود مي‌گيرد و كاربر را ناخواسته وارد سايتي مي‌كند كه يك نرم‌افزار جاسوسي را روي رايانه‌ي او‌ قرار مي‌دهد. به دليل آن كه Safety Brwoser براي مورد شناسايي قرار دادن خودش، از پيام رساني فوري استفاده مي‌كند، كاربر به آساني فريب خورده و آن را به جاي اينترنت اكسپلورر سالم اشتباه مي‌گيرد.

بر اساس اعلام شركت امنيتي Face Time، اين اولين نرم‌افزار مخربي است كه بدون تاييد كاربر، گشايشگر وب خود را نصب مي‌كند. وورم جديد با استفاده از ارسال يك وب سايت لينك كه يك فايل دستوري را بر روي رايانه لوود كرده و Safety Brwoser را نصب مي‌كند، آلودگي را به تمامي ‌بخش‌هاي مرتبط با ياهو مسنجر منتقل مي‌كند.

تيلرولز- مدير آزمايشگاه امنيتي Face Time - اين كرم جديد را عجيب‌ترين در نوع خود دانست؛ چراكه تا به حال سابقه‌ نداشته است كه بدون آگاهي كاربر، كنترل يك گشايشگر وب از دست او خارج شود.

تراواي جديد، كاربران Word را تهديد مي‌كند

كارشناسان امنيتي از ظهور تراواي جديدي خبر مي‌دهند كه كاربران نرم‌افزار MS Word را تهديد مي‌كند.

به گزارش آژانس خبری پرشین هک، شرکت
توليدكننده نرم‌افزارهاي ضد ويروس مكافي اعلام كرده است كه اين تراواي جديد با نام BackDoor-CKB!cfaae1e6 از يك حفره امنيتي اصلاح نشده در نرم‌افزار MS Word سوء استفاده كرده و هم‌اكنون به صورت يك فايل ضميمه آلوده توسط هكرها به صندوق پست الكترونيك كاربران وارد شده و از اين طريق گسترش مي‌يابد.


چنانچه كاربران، اين فايل آلوده نرم‌افزار Word را دانلود و اجرا كنند، تراوا فعال شده و به هكر اجازه مي‌دهد هر نوع كد مخرب را در كامپيوتر اجرا كرده، تراواهاي بيشتري را در كامپيوتر فعال سازد و هر آنچه را كه كاربر در صفحه نمايش خود مي‌بيند، مشاهده كرده و تمامي كلماتي را كه كاربر با صفحه كليد خود تايپ مي‌كند، شناسايي كند.


شركت توليدكننده نرم‌افزارهاي امنيتي سيمانتك نيز در واكنش به ظهور اين تراواي جديد اعلام كرده است كه اين تراوا از قاره آسيا و احتمالاً از كشور چين و يا تايوان منتشر شده و علاوه بر كاربران خانگي نرم‌افزار Word، كامپيوتر‌هاي مورد استفاده در سازمان‌ها و شركت‌هاي بزرگ را نيز مورد هدف گرفته است.


اين تراواي جديد كه هنوز هدف دقيق نويسنده‌ي آن مشخص نشده، كامپيوتر‌هاي استفاده كننده از نسخه‌ي MS Word 2003 را آلوده كرده، اما در كامپيوتر‌هاي استفاده‌كننده از MS Word 2000 تنها سبب از كار افتادن اين نرم‌افزار مي‌شود.


مايكروسافت هم اكنون در حال آماده‌سازي patch اصلاح كننده يك حفره امنيتي است كه توسط تراواي جديد مورد استفاده قرار گرفته و احتمالا اين patch در برنامه ماهيانه به روز سازي محصولات شركت مايكروسافت و در ماه آينده منتشر خواهد شد.

مردی که روزانه 18 میلیون اسپم ارسال می کرد دستگیر شد

مختصصان مرکز تحقیقاتی ™SophosLabs که با هدف آنالیز رفتاری ویروس ها، برنامه های جاسوسی و ارسال کنندگان هرزنامه ها راه اندازی شده است در خبری اعلام کردند ماموران دولت کره ی جنوبی موفق شده اند مرد جوانی را که کنترل بیش از 16.000 رایانه آلوده را از راه دور بر عهده داشته است دستگیر نمایند. در اصطلاح به کامپیوترهایی که از راه دور توسط هرزنامه نویسان کنترل می شوند Zombie یا مردگان متحرک می گویند.

به گفته ی (KISA) مرکز عالی امنیت ملی کشور کره، تخمین زده می شود این مرد روزانه بیش از 18 میلیون ایمیل از طریق شبکه ی Zombie برای 133 کشور جهان ارسال کرده باشد. همچنین تحقیقات بیشتر نشان می دهد بیش از 6 ماه از فعالیت شبکه ی این شخص می گذرد.

طی ماه گذشته، در گزارشی که توسط موئسسه SophosLabs منتشر شده بود، کشور کره ی جنوبی در آمار جهانی رتبه سوم از نظر بیشترین ارسال کننده هرزنامه ها را بدست آورده بود.

هرزنامه نويس روس اسرائيلي ها را تهديد کرد

جالب آنکه اين هرزنامه نويس براي ارسال هرزنامه هايش ابزار ضدهرزنامه Blue Security را در هم شکسته

هموطن سلام- مشتريان يک شرکت ضدهرزنامه صهيونيستي موسوم به Blue Security از جولاي سال 2005 با تهديدات مکرر يک هرزنامه نويس روس مواجه شده اند که آنان را تهديد مي کند از استفاده از ----- ضدهرزنامه اين شرکت دست بردارند.
جالب آنکه اين هرزنامه نويس براي ارسال هرزنامه هايش ابزار ضدهرزنامه Blue Security را در هم شکسته و نامه هايش را به راحتي براي مشترکان آن ارسال مي کند.
گفتني است Blue Security هم اکنون بيش از 500 هزار نفر مشترک دارد.
اين هکر روس تهديد کرده که درصورت استفاده از اين ----- کاربران آن 20 تا40 برابر بيش از حد معمول هرزنامه دريافت خواهند کرد. مسئولان Blue Security مي گويند هم اکنون در حال بررسي مساله هستند.

ساخت یک ویروس دوزیست

نگارندگان ويروسهاي رايانه‌اي دومين نمونه از يك كد مخرب كه مي‌تواند هر دو سيستم عامل "ويندوز" و "لينوكس" را مبتلا سازد، به صورت محدود و كنترل شده منتشر كرده‌اند.

به گزارش سايت اينترنتي "سي‌نت نيوز.كام"، اين ويروس با نام "باي.اي" (‪ (Bi.a‬هم‌اكنون توسط نگارندگان خود به عنوان يك نمونه، به شركت روسي توليدكننده نرم‌افزارهاي ضد ويروس "كاسپرسكي" ارائه شده‌است.

ويروس "باي.اي" به زبان برنامه‌نويسي "اسمبلر" نوشته شده و قادر است فايلهاي داراي فرمتهاي مورد استفاده در هر دو سيستم‌عامل "ويندوز" و همچنين "لينوكس" را آلوده كند.

كارشناسان عقيده دارند ويروس "باي.اي" اثبات اين مدعاست كه مي‌توان كدهاي مخربي با قابليت حمله به سيستم‌عاملهاي متفاوت ايجاد كرد و احتمالا در آينده شاهد انتشار ويروسهاي واقعي با قابليت مبتلا كردن سيستم‌عاملهاي مختلف خواهيم بود.

به گفته "سوا فرانتزن" از مركز بين‌المللي تحقيقات امنيت اينترنتي "سنس" (‪ ،(SANS‬احتمالا هم‌اكنون هكرها و نگارندگان ويروسهاي رايانه‌اي در حال مطالعه روي ويروسهايي با قابليت جهش از يك سيستم‌عامل به سيستم‌عامل ديگر هستند و در آينده ظهور اين ويروسها مي‌تواند مشكلات امنيتي قابل توجهي ايجاد كند.

آيا اين ويروس؟

سلام دوستان من ياهو 9.0.0.2018 رو نصب كردم در ضمن رو سيستمم كسپراسكاي 2009 رو هم آپديت دارم بارها هم ويندوز عوض كردم
من 2 تا مشكل دارم
1: توي شاخه c:\program files\yahoo\messenger اينجا من كلي فايل چرت و پرت و بي پسوند ساخته ميشه واسم هرچي هم پاك ميكنم دوباره ساخته ميشه ميخواستم بدونم تا حالا مال شما هم اينجوري شده و دليلش چي؟
2: من وقتي كسپراسكاي رو ميبندم البته اين مشكل فقط تو اكس پي دارم كه بعد از يه مدت نامعاومي سيستو قاطي ميكنه هيچ سايتي باز نميشه رو آرم اينترنت هم كه كنار ساعت كليك ميكني بالا ميادو سريع محو ميشه بعد Task manager هم نمياد بالا و مشكلات تا زماني كه ريستارت نكني از بين نميره حتي با لوگ آف

كمك كنيد plz
ضمننا من رو ياهو ورژن 8 بيشتر اين مشكلو دارم